软件介绍
AppScan 是一种 Web 应用程序安全扫描工具,可帮助组织识别和修复其 Web 应用程序中的漏洞。它结合使用自动和手动测试技术来识别漏洞,例如跨站点脚本 (XSS)、SQL 注入和不安全的文件上传等。
AppScan 可用于在开发生命周期的不同阶段扫描 Web 应用程序,包括设计、开发和测试阶段。它还可用于对生产 Web 应用程序执行持续的漏洞评估。
该工具提供详细的报告,突出显示发现的漏洞,并提供如何修复这些漏洞的建议。它还提供了多种使其易于使用的功能,例如与流行的开发框架集成以及扫描在各种平台(包括 Java、.NET 和 PHP)上构建的应用程序的能力。
总体而言,AppScan 是希望提高 Web 应用程序安全性并防范网络威胁的组织的宝贵工具。
下载地址
链接:
https://pan.baidu.com/s/19TAHl8lYGmE0O753ULyzYA
密码:yvle
安装教程
- 下载之后双击该exe文件进行安装。
图3.1 安装文件
- 选择安装语言为中文
图3.2 安装语言选择
- 选择我接受条款协议。
图3.3 安装协议
- 选择合适的安装目录,默认也可以。
图3.4 自定义安装目录
- 安装完成后出现一个安装组件的弹窗如图3.5,选择“是”。
图3.5 安装组件弹窗
- 最后点击完成即可安装成功。
图3.6 安装成功
四、使用教程
- 双击开启后,选择“创建新的扫描”
图4.1 开启界面
- 选择“常规扫描”
图4.2 常规扫描
- 选择web应用程序扫描,点击下一步。
图4.3 web应用程序扫描
- 在“起始URL”下面输入需要启动扫描的URL,如果勾选了“仅扫描此目录中或目录下的链接”(如下图),则会只扫描起始URL目录或者子目录中的链接。
举例:如果我们的网站www.sina.com.cn下面有两个目录test1和test2,当起始URL中输入"
http://www.sina.com.cn/test1/"并勾选“仅扫描此目录中或目录下的链接”的时候,appscan不会扫描“www.sina.com.cn/test2”目录下的所有链接。
另外,如果被扫描对象的主机是unix或者linux,建议勾选下面的“将所有路径作为区分大小写来处理(Unix、Linux等)(T)”选项(如图4.4),因为unix或者linux是对大小写敏感的;如果被扫描对象的主机是windows主机,则没有必要勾选此项。
如果扫描的时候需要顺便扫描其它的服务器或者域,则需要在底下的“其它服务器和域”中添加对应的路径。
这里我用如意购购物网站举例:
图4.4 起始URL设置
- 在显示的配置向导的登录方法页面,可以选择合适的登录方法便于后续扫描的开展。最常用的登录方法有两种:记录和自动,这里以“记录”为例。
图4.5 登录方法选择
- 点击“记录”按钮,会弹出浏览器加载上面输入的扫描起始URL,这个时候正常的像操作web界面一样输入用户名/密码登录被测系统后,直接点击关闭窗口按钮即可,这个过程中会把整个登录过程给录制下来用于后面的登录验证。
图4.6 分析数据
- 其它的保持默认选择,直接点击“下一步”。如果需要在登录注销页面上进行攻击测试,则需要勾选下面两个勾选框,然后点击下一步。
图4.7 测试策略界面
- 选择完合适的测试策略之后,点击“下一步”,采用默认选择即可,点击“完成”。
图4.8 完成扫描配置
图4.9 正在扫描中
版权归原作者 poggioxay 所有, 如有侵权,请联系我们删除。