如何有效的使用AppScan扫描大型网站

AppScan操作手册
CCII/TI-06
AppScan版本：9.0
编制人：王雷
审核人：张莹
发布时间：2018年3月11日
一、打开AppScan软件，点击工具栏上的文件–> 新建，出现一个dialog，如图所示：
这里写图片描述
二、点击“Regular Scan”，出现扫描配置向导页面，这里是选择“Web应用程序扫描“，如图：
这里写图片描述
三、点击”下一步“，出现URL和服务器的配置页面，如图，输入需要测试的URL。

这里写图片描述
四、点击”下一步“，出现登录管理的页面，这是因为对于大部分网站，需要用户名和密码登录进去才可以查看许多内容，未登录的情况下就只可以访问部分页面。

这里写图片描述
这里选择使用的登录方法是自动，即需要输入用户名和密码。

如果选择的是记录，则需要对登录过程进行录入，在录入的过程中，appscan可以记住一些url，方便进行扫描。

五、点击”下一步“，出现测试策略的页面，可以根据不同的测试需求进行选择，这里选择的是”完成（Complete）“，即进行全面的测试，
这里写图片描述
六、点击”下一步“，出现完成配置向导的界面，这里使用默认配置，可根据需求更改，如下图：
这里写图片描述
七、点击”完成“，设置保存路径，即开始扫描，如下图：
这里写图片描述
八、待扫描专家分析完毕，点击”扫描–> 继续完全扫描“即可。

这里写图片描述
九、等待测试完毕，即可分析结果。

转载]如何更有效使用Rational AppScan 扫描大型网站Rational AppScan（简称AppScan）其实是一个产品家族，包括众多的应用安全扫描产品，从开发阶段的源代码扫描的AppScan source edition，到针对Web 应用进行快速扫描的AppScan standard edition，以及进行安全管理和汇总整合的AppScan enterprise Edition 等。

我们经常说的AppScan 就是指的桌面版本的AppScan，即AppScan standard edition。

其安装在Windows 操作系统上，可以对网站等Web 应用进行自动化的应用安全扫描和测试。

来张AppScan 的截图，用图表说话，更明确。

图 1. AppScan 标准版界面请注意右上角，单击“扫描”下面的小三角，可以出现如下的三个选型“继续完全扫描”、“继续仅探索”、“继续仅测试”，有木有？什么意思？理解了这个地方，就理解了AppScan 的工作原理，我们慢慢展开：还没有正式开始安全测试之前，所以先不管“继续”，直接来讨论“完全扫描”，“仅探索”，“仅测试”三个名词：AppScan 三个核心要素AppScan 是对网站等Web 应用进行安全攻击来检查网站是否存在安全漏洞；既然是攻击，需要有明确的攻击对象吧，比如北约现在的对象就是卡扎菲上校还有他的军队。

对网站来说，一个网站存在的页面，可能成千上万。

每个页面也都可能存在多个字段（参数），比如一个登陆界面，至少要输入用户名和密码吧，这就是一个页面存在两个字段，你提交了用户名密码等登陆信息，网站总要有地方接受并且检查是否正确吧，这就可能存在一个新的检查页面。

这里的每个页面的每个参数都可能存在安全漏洞，所有都是被攻击对象，都需要来检查。

这就存在一个问题，我们来负责来检查一个网站的安全性，这个网站有多少个页面，有多少个参数，页面之间如何跳转，我们可能并不明确，如何知道这些信息？看起来很复杂，盘根错节；那就更需要找到那个线索，提纲挈领；想一想，访问一个网站的时候，我们需要知道的最重要的信息是哪个？网站主页地址吧？从网站地址开始，很多其他频道，其他页面都可以链接过去，对不对，那么可不可以有种技术，告诉了它网站的入口地址，然后它“顺藤摸瓜”，找出其他的网页和页面参数？OK，这就是“爬虫”技术，具体说，是“网站爬虫”，其利用了网页的请求都是用http 协议发送的，发送和返回的内容都是统一的语言HTML，那么对HTML 语言进行分析，找到里面的参数和链接，纪录并继续发送之，最终，找到了这个网站的众多的页面和目录。

appscan使用教程AppScan 使用教程AppScan 是一款常用的Web应用程序安全扫描工具，它可以帮助开发者识别和修复应用程序中的安全漏洞。

下面是一份简要的AppScan使用教程，旨在帮助您开始使用该工具：1. 下载并安装AppScan：首先，您需要从IBM官方网站下载并安装AppScan。

确保您选择最新版本的工具，并按照安装向导进行操作。

2. 创建扫描任务：启动AppScan后，您将看到一个主界面。

点击“新建扫描任务”按钮，然后输入任务名称和说明。

您还可以选择扫描的目标URL和目标平台（如Web应用程序、移动应用程序等）。

3. 配置扫描设置：在创建任务后，您可以进一步配置扫描设置。

这包括选择使用的扫描引擎、设置并发连接数、定义登录信息、配置扫描速度等。

4. 开始扫描：完成配置后，点击“开始扫描”按钮开始执行扫描任务。

AppScan将开始自动扫描目标应用程序，发现潜在的漏洞和薄弱点。

5. 查看扫描结果：一旦扫描完成，您可以在AppScan中查看扫描结果。

该结果将包含发现的漏洞、详细的漏洞报告、漏洞等级和修复建议。

6. 修复漏洞：根据扫描结果，您可以开始修复发现的安全漏洞。

这可能包括修复代码中的漏洞、更新应用程序的配置和权限设置等。

7. 导出报告：将扫描结果导出为报告以供后续参考。

AppScan提供了多种报告格式，如PDF、HTML、Excel等。

请注意，这只是一个简要的教程，并不能覆盖AppScan的所有功能和细节。

根据您的具体需要，您可能需要深入学习和了解AppScan的其他特性和高级用法。

1.1跟我学IBM AppScan Web安全检测工具——如何应用AppScan软件工具进行安全检测（第1部分）1.1.1新建和定义扫描配置1、新建一个新的扫描启动AppScan后可以在欢迎界面中点击“创建新的扫描”链接，或者选择“文件”菜单中的“新建”子菜单项目。

都将出现下面的“新建扫描”时所需要选择的模板对话框窗口，主要提供有如下类型的模板——常规扫描、快速且简单的扫描、综合扫描、基于参数的导航、WebSphereCommerce、WebSphere Portal、、Hacme Bank、WebGoat v5等。

当然，也可以在欢迎对话框界面中选中已经存在的扫描配置文件，从而重用原有的扫描配置结果。

将出现如下的加载信息可以在此配置文件的基础上继续检测或者显示出以前的检测结果信息。

2、应用某个扫描模板选择一个适合满足检测要求的扫描模板——在模板中包括已经定义好的扫描配置，选择一个模板后会出现配置向导——本示例选择“常规扫描”模板（使用默认模板）。

然后将出现下面的“扫描配置向导”对话框。

扫描配置向导是AppScan工具的核心部分，使用设置向导可以简化检测的配置过程。

目前，在本示例程序中没有下载安装“GSC Web Service记录器”组件，因此目前还不能对“Web Service”相关的程序进行扫描。

如果在Web应用系统中涉及Web Service，则需要下载安装“GSC Web Service记录器”组件。

在“扫描配置向导”对话框中选择扫描的类型，目前选择“Web应用程序扫描”类型选择项目。

然后再点击“下一步”按钮，将出现下面的“URL和服务器”界面。

3、定义URL和服务器在“URL和服务器”界面中，根据检测的需要进行相关的配置定义。

（1）Starting URL（扫描的起始网址）此功能指定要扫描的起始网址，在大多数情况下，这将是该网站的登陆页面或者Web 应用系统的首页面。

Rational AppScan 提供有测试站点（，而登录 站点的用户名和密码为：jsmith / Demo1234），但本示例选择“http://XXX.XX.XX.XXX:3030/”（XX考勤系统）作为检测的起始网址，并选择“仅扫描此目录中或目录下的链接”的选择框，从而可以限制只扫描目标Web应用系统所在的工作目录下的各个链接。

AppScan扫描结果分析及⼯具栏使⽤Appscan的窗⼝⼤概分三个模块,Application Links(应⽤链接), Security Issues(安全问题), and Analysis(分析)Application Links Pane(应⽤程序结构)这⼀块主要显⽰⽹站的层次结构,基于URL和基于内容形式的⽂件夹和⽂件等都会在这⾥显⽰,在旁边的括号⾥显⽰的数字代表存在的漏洞或者安全问题.通过右键单击⽂件夹或者URL可以选择是否忽略扫描此节点.Dashboard窗格会根据漏洞严重程序，⾼中低列出⽹站存在的问题情况,因此Dashboard将反映⼀个应⽤程序的整体实⼒。

Security Issues Pane(安全问题)这个窗格主要显⽰应⽤程序中存在的漏洞的详细信息.针对每⼀个漏洞，列出了具体的参数.通过展开树形结构可以看到⼀个特定漏洞的具体情况，如下所⽰：根据扫描的配置,Appscan会针对各种诸如SQL注⼊的关键问题，以及像邮件地址模式发现等低危害的漏洞进⾏扫描并标识出来.因为扫描策略选择了默认，Appscan会展⽰出各种问题的扫描情况.右键单击某个特定的漏洞可以改变漏洞的的严重等级为⾮脆弱,甚⾄可以删除.Analysis Pane(分析)选择Security Issues窗格中的⼀个特定漏洞或者安全问题，会在Analysis窗格中看到针对此漏洞或者安全问题的四个⽅⾯:Issue information(问题信息), Advisory(咨询), Fix Recommendation(修订建议), Request/Response(请求/响应).Issue information(安全问题信息)Issue information 标签下给出了选定的漏洞的详细信息,显⽰具体的URL和与之相关的安全风险。

通过这个可以让安全分析师需要做什么，以及确认它是⼀个有效的发现。

Advisory(咨询)在此选项卡，你可以找到问题的技术说明，受影响的产品，以及参考链接。

本人英语能力有限，如有错误请见谅。

——译者这个向导是AppScan用户向导手册和AppScan在线帮助的补充（fairyox）。

主要目的是为这个产品做介绍，如果需要更多的资料和详细的说明书请参阅用户手册和在线帮助1安装1.1AppScan安装将AppScan安装保存在计算机中，双击它，然后根据提示操作。

1.2注册文件安装AppScan安装中包括一个允许扫描指定站点的注册文件（见章节1.4），但是不能扫描其他站点。

扫描其他站点需要得到IBM授予的合法注册文件。

这样就可以扫描其他站点并读取和保存扫描模版，否则不能运行其他站点的扫描。

安装扫描文件：1.打开AppScan2.在帮助菜单选择License3.如果已经有注册文件：点Load License File，找到注册文件，点Open。

或者在网上获得注册文件：确认连接好Internet网，点Obtain License Online，然后根据提示操作4.点ok关闭注册对话框。

1.3升级IBM每天升级AppScan的应用弱点数据库。

每次AppScan会自从从IBM搜索、安装升级补丁。

用户也可以随时手动升级：打开AppScan，点击升级，根据提示操作。

1.4AppScan的试用版如果您在使用AppScan的试用版，注册文件只允许您对IBM Rational AppScan定制的测试站点进行测试：AppScan下载：https:///securearea/appscan.aspx测试站点：/用户名：jsmith 密码：demo12342概述2.1主界面AppScan 主界面包括一个菜单栏、工具栏和视图选择，还有三个数据窗口：应用树、结果列表和细节。

下图是主界面在进行数据扫描（扫描前三个数据窗口和统计图是空白的）。

2.2站点扫描的基本原理AppScan 扫描由两个阶段组成：探测和测试。

探测阶段：AppScan 用模拟人为点击链界和填写表格的方式探测站点（应用或者Web 服务）。

IBM Rational AppScan使用详细说明本文由阿德马翻译自国外网站,尊重劳动成果,转载请注明出处,谢谢.本文将详细介绍Appscan功能选项设置的细节,适合E文一般,初次接触Appscan 的童鞋参考阅读.Appscan是web应用程序渗透测试舞台上使用最广泛的工具之一.它是一个桌面应用程序，它有助于专业安全人员进行Web应用程序自动化脆弱性评估。

本文侧重于配置和使用Appcan，分析扫描结果将在下一篇文章中讨论.Appscan的主要特点:Appscan 8.5标准版有很多新的功能，其中大部分将在我下面的概要中涵盖：Flash支持：8.0 Appscan相对早期的版本增加了flash支持功能，它可以探索和测试基于Adobe的Flex框架的应用程序，也支持AMF协议。

Glass box testing:：Glass box testing是Appscan中引入的一个新的功能.这个过程中，安装一个代理服务器,这有助于发现隐藏的URL和其它的问题。

Web服务扫描：Web服务扫描是Appscan中具有有效自动化支持的一个扫描功能。

Java脚本安全分析：Appscan中介绍了JavaScript安全性分析,分析抓取html 页面漏洞，并允许用户专注于不同的客户端问题和DOM（文档对象模型）为基础的XSS 问题。

报告：根据你的要求，可以生成所需格式的报告。

修复支持：对于确定的漏洞,程序提供了相关的漏洞描述和修复方案.可定制的扫描策略：Appscan配备一套自定义的扫描策略,你可以定制适合你需要的扫描策略。

工具支持：它有像认证测试，令牌分析器和HTTP请求编辑器等,方便手动测试漏洞.Ajax和Dojo框架的支持。

现在，让我们继续学习更多有关安装和使用Rati??onal AppScan扫描Web应用程序的过程。

Appscan的安装：要运行Appscan的系统至少需要2GB的RAM,同时确保安装了.net framwork和Adobe flash来执行扫描过程中的Flash内容。

∙登录|注册∙∙沉底的石头∙目录视图∙摘要视图∙订阅【免费公开课】Android APP开发之真机调试环境实现有奖试读—漫话程序员面试求职、升职加薪、创业与生活AppScan扫描建议2014-09-10 14:56 6270人阅读评论(0) 收藏举报分类：系统安全（4）1.1 AppScan扫描建议若干问题的补救方法在于对用户输入进行清理。

通过验证用户输入未包含危险字符，便可能防止恶意的用户导致应用程序执行计划外的任务，例如：启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令，等等。

建议过滤出所有以下字符：[1] |（竖线符号）[2] & （& 符号）[3];（分号）[4] $（美元符号）[5] %（百分比符号）[6] @（at 符号）[7] '（单引号）[8] "（引号）[9] \'（反斜杠转义单引号）[10] \"（反斜杠转义引号）[11] <>（尖括号）[12] ()（括号）[13] +（加号）[14] CR（回车符，ASCII0x0d）[15] LF（换行，ASCII0x0a）[16] ,（逗号）[17] \（反斜杠）以下部分描述各种问题、问题的修订建议以及可能触发这些问题的危险字符：SQL 注入和 SQL 盲注：A. 确保用户输入的值和类型（如 Integer、Date 等）有效，且符合应用程序预期。

B. 利用存储过程，将数据访问抽象化，让用户不直接访问表或视图。

当使用存储过程时，请利用 ADO 命令对象来实施它们，以强化变量类型。

C. 清理输入以排除上下文更改符号，例如：[1] '（单引号）[2] "（引号）[3] \'（反斜线转义单引号）[4] \"（反斜杠转义引号）[5] )（结束括号）[6] ;（分号）跨站点脚本编制：A. 清理用户输入，并过滤出 JavaScript 代码。

appscan扫描测试策略模板选择生产站点
当使用AppScan进行扫描测试时，可以使用以下的策略模板来选择生产站点：
1. 全面扫描（Comprehensive Scan）：该模板适用于对目标应用程序进行全面测试的情况。

它会扫描包括所有页面和功能在内的整个应用程序，以检测所有可能的安全漏洞。

2. 常规扫描（Standard Scan）：该模板适用于快速但一般性的应用程序扫描。

它会扫描常见的安全漏洞，并对目标应用程序的主要页面和功能进行测试。

3. 高风险扫描（High Risk Scan）：该模板适用于对高风险应用程序或关键业务功能进行深入测试的情况。

它会强调对具有较高潜在风险的漏洞进行深入检测和分析。

4. 合规扫描（Compliance Scan）：该模板适用于需要验证应用程序是否符合特定合规标准（如PCI DSS）的情况。

它会扫描与合规性相关的安全漏洞，并生成符合标准要求的报告。

选择适合的模板取决于您的需求和应用程序的重要性。

根据情况，您还可以定制化模板，以便特别关注某些特定的漏洞类型或配置要求。

在进行任何扫描之前，请确保您拥有合法授权来测试目标应用程序，并遵守适用的隐私和法律规定。

一款web安全扫描工具AppScanAppScan是IBM的一款web安全扫描工具，主要适用于Windows系统。

该软件内置强大的扫描引擎，可以测试和评估Web服务和应用程序的风险检查，根据网站入口自动对网页链接进行安全扫描，扫描之后会提供扫描报告和修复建议等。

主要功能特点1、全面的漏洞规则库AppScan有自己的用例库，版本越新用例库越全（用例库越全面，对漏洞的检测较全面，被测试系统的安全性则越高）2、漏洞扫描的全面性和准确性AppScan支持当前采用的Web应用的技术，如JavaScript、HTTPS以及认证等，以便确保发现URL的完整性。

3、最为全面的规则库作为安全工具的核心能力，AppScan拥有业界公认的最为全面强大的漏洞扫描能力。

HCL的技术团队维护了最全面的规则库，也提供了业界最快的漏洞库更新频率。

所有的这些都是保障客户安全的基石。

4、不仅仅发现问题，更注重解决问题AppScan不仅仅发现问题，更聚焦在如何解决问题。

通过AppScan内置的漏洞管理流程，可以跟踪漏洞的状态，如open、inprogress、closed等状态。

另外，针对不同开发语言，AppScan 还提供了解决建议（包括.net，J2EE等），这也是业界独一无二的。

5、强大的报告分析能力AppScan还提供了一系列报告功能，包括存从性检查，可以检查40多种国际行业标准和法规；能够提供给开发人员详细的漏洞测试报告，包括了测试用例的执行过程数据；提供给各个管理人员统计分析报告，可以比对不同部门、不同应用漏洞发现的情况、趋势、分布；等等。

6、漏洞攻击指导，提升安全防范水平内置的web漏洞培训指导，阐述了每个漏洞的详细形成原理、过程，并演示了验证、修复等内容，从而可以帮助客户的技术人员促进对漏洞的理解和交流，提升组织的安全防范能力和水平。

Appscan安全漏洞扫描使⽤（转）这⾥主要分享如何使⽤AppScan对⼀⼤项⽬的部分功能进⾏安全扫描。

------------------------------------------------------------------------ 其实，对于安全⽅⾯的测试知道的甚少。

因为那公司每个⽉要求对产品进⾏安全扫描。

掌握了⼀⼈点使⽤技巧，所以拿来与⼤家分享。

因为产品⽐较⼤，功能模块也⾮常之多，我们不可能对整个产品进⾏扫描。

再⼀个每个测试员负责测试的模块不同。

我们只需要对⾃⼰负责测试的模块扫描即可。

扫描⼯具⾃然是IBM AppScan ，功能强⼤，使⽤简单。

略懂安全测试的都使⽤或听说过这个⼯具。

这⾥就不过多介绍了。

抽取被扫描功能的链接 ⾸先要抽取扫描的链接。

fiddler⼯具来抽取。

打开系统，找到你需要做扫描的功能模块，开启fiddler拦截功能，然后对你所要测试的功能做各种操作，fiddler就会记录的所有访问的链接，因为涉及到隐私，所以下图会⽐较模糊。

其实，请求中有⾮常多的链接，但许多是⼀样，我们只要把不⼀样的全找出来就可以了。

这⾥你需要知道每个连接的情况。

也有⼀些外部链接是不需要抽取的。

把所有链接抽取出来之后就没⼏个了。

去掉重复的就没多少了。

完成配置向导 下⾯打开appscan创建扫描。

（关于appascan的下载安装与破解、介绍，我在另⼀篇博⽂已讲）选择常规扫描，进⼊配置向导。

点击下⼀步，进⼊配置上⾯这⼀步是重点，起始URL填写你要扫描的⽹址。

其它服务器和域：这⾥把抽取的所有链接都添加进去。

包括后⽹站的⾸页链接。

点击下⼀步。

这⾥提供三种⽅式来记录帐号，不多介绍。

第⼀种和第三种最常⽤。

然后点击⼏个下⼀步后出现后⾯的选项，选择第三个或第四项完成扫描的配置。

录制扫描脚本 完成配置后，下⾯就要开始录制脚本了呢。

点击⼯具栏上的探索按钮，appscan会打开⾃带浏览器，输⼊系统⽤户名密码登录系统，对你要扫描的模块功能进⾏操作。

Appscan操作手册（手动探索/完全扫描的区别）1.首先下载Appscan的安装包建议现在安装appscan9.0/8.0的版本比较好2.安装Appscan二、操作流程1.双击图标，打开Appscan软件2.打开软件后，页面显示如下：3.选择“文件-新建”，弹出如下的窗口：4.点击“常规扫描”，页面如下：5.选择“Appscan（自动或手动）”，点击下一步，如图：6.在“起始URL”处输入将要扫描的系统的URL，点击下一步，如图：7.选择“自动”，输入用户名和密码，如图：8.点击下一步，如图：9.默认，点击下一步，如图：注：一般常用的是“启动全面自动扫描”和“使用“手动探索”启动”，二者区别如下：1）启动全面自动扫描：工具自动对系统进行扫描，扫描完毕后会显示扫描结果。

不过使用此种方式扫描不全，类似插件的模块扫描不到。

2）使用“手动探索”启动：测试人员可以自由灵活的对所有模块进行扫描操作，扫描结果更加细致。

下面以手动探索为例。

10.选择“使用“手动探索”启动，点击完成。

通过浏览器打开扫描的页面，如下：11.进行测试操作，录制脚本，脚本录制完毕后，关闭浏览器。

Appscan页面显示录制的脚本信息，如下图：12.点击“导出”按钮，保存录制的脚本，关闭窗口。

点击“文件-导入-探索数据”，选择刚才录制的脚本。

13.脚本添加完毕，如下图：14.点击“扫描-继续仅探索”15.弹出如下窗口：16.选择“是”，保存扫描结果后，开始进行扫描操作。

17.扫描停止后，点击“扫描-仅测试”，如下图：18.开始进行安全测试，捕获漏洞，如下图：注：下方显示扫描进度。

19.扫描完毕后，扫描界面显示如下图：注：1）界面中间显示存在的漏洞类型，展开可查看漏洞的URL；2）右侧显示具体的漏洞信息，可查看详情20.点击界面的“报告”按钮，如下图所示：21.勾选“在每个问题之后加入分页（PDF）”，勾选左侧的全部信息（为使报告更加详细），如下图：22.点击“保存报告”，可将报告保存到本地电脑。

（⼆）AppScan使⽤教程1.新建扫描：⼀般选择常规扫描2.选择扫描的平台：web或app3.扫描配置向导①配置URL和服务器②配置登录管理在扫描的过程中，可能会不⼩⼼碰到退出按钮导致Appscan注销.因此,要登陆到应⽤程序中,我们需要根据需求设置。

在测试的web没有验证码情况下，可以使⽤（1和3种登陆⽅法）在web有验证码情况下，可以使⽤第⼆种登陆⽅法。

推荐使⽤第⼀种⽅法。

记录:选择此项后,会出现⼀个新的浏览器，并尝试链接到指定的⽹站作为本扫描的起始URL.你需要输⼊账号和密码登陆到应⽤程序.这样设置之后你可以关闭浏览器，但是不要点击注销按钮。

有时候你会发现打开的浏览器不是IE或者Mozilla，⽽是Appscan浏览器.你可以改变通过设置来改变这个。

⼯具-->Options -->Advanced,设置OpenIEBrower的值0--Appscan浏览器,1--IE,2--Firefox,3--Chrome.如果该⽹站的⾏为在不同的浏览器下有所不同,这个设置将是⾮常有⽤的.提⽰：每次注销之后,Appscan会提⽰你登陆到应⽤程序中.如果你打算整个扫描你的系统，你可以选择这个选项。

⾃动：在这⾥可以直接指定⽤户名和密码,当需要登陆到应⽤程序的时候。

在浏览器打开的界⾯（需扫描的web）上输⼊⽤户名和密码后，点击系统的登录按钮。

如果登录成功，可点击【我已登录到站点】。

appscan会开始分析登录操作，若成功记录下登录操作，会执⾏注销操作。

appscan执⾏完注销操作后，会回到配置向导界⾯：有标志，说明已记录成功。

【注意】Appscan使⽤外部浏览器的问题。

⽬前只⽀持IE、Firefox、Chrome三款浏览器。

9.0.1.1版本中在⼯具-选项-扫描选项中可以找到。

早期版本在⼯具-选项-⾼级⾥有个OpenExternalBrowser这个参数 1为IE、2为⽕狐、3是Chrome。

【验证登录】⽤登录接⼝返回的内容进⾏会话验证验证通过：③测试策略扫描期间，AppScan® 发送的测试数量可以达到数千。

APP SCAN黑盒安全扫描工具使用手册第一部分创建扫描任务1.1 登录APP SCANhttps://zgb002/ase1.2 点击左上角的导航1.3 选择“扫描”标签1.4 点击“加号”，进入创建扫描的导航页面1.4.1 准备在下图界面选择“作业使用模板”时，一般选择“常规扫描”，或者“快速且简便的扫描”可以适当缩短一半的扫描时间。

打开本地客户端客户端与服务器建立连接1.4.2 URL和服务器1.4.3 登录管理在下图界面设置“登录管理”的参数，如果确定扫描的网站不需要登录，可以直接在“选择登录方法”一栏选择“无”，否则就按图示选项选择“记录”并单击“AppScan IE 浏览器”：在登录页面输入账户信息成功跳转到登录成功后的页面后，单击“我已登录到站点”点击“审查和验证”标签，验证会话是否有效1.4.4 手动探索1.4.5 HTTP认证1.4.6 通信和代理注意在下图“通信和代理”界面的参数设置这里建议调整线程数为1（默认是10，使用默认值可能会对要测试的网站造成不必要的压力），另外建议开启自动调整超时的选项，减少类似下面这些连接超时的错误：1.4.7 作业属性在下图“作业属性”界面的参数设置中输入“作业名”，选择“测试策略”为“缺省值”或者“开发者精要”，然后单击左侧的“测试优化”：1.4.8 测试优化1.4.9 恶意软件如果扫描时所处网络无因特网连接，则应在下图“恶意软件”界面的参数设置中取消“检查恶意外部Web站点的链接”的勾选项，然后单击右下角的“创建作业”按钮完成操作：1.4.10 完毕创建作业成功后会自动跳回控制台查看扫描任务的进度：第二部分手动指定用于扫描的Scanner新创建的扫描任务默认不指定固定的Scanner服务器，由系统根据负载情况自行分配，如果需要为某个特定的扫描任务手动指定Scanner，需要打开创建好的扫描任务进行编辑：修改完成之后，下一次运行扫描任务时将系统使用指定的Scanner服务器来执行操作。