一、操作前提
1.首先下載Appscan的安裝包
2.安裝Appscan
二、操作流程
1.雙擊
圖標,打開Appscan軟件
2.打開軟件后,頁面顯示如下:
3.選擇“文件-新建”,彈出如下的窗口:
4.點擊“常規掃描”,頁面如下:
5.選擇“Appscan(自動或手動)”,點擊下一步,如圖:
6.在“起始URL”處輸入將要掃描的系統的URL,點擊下一步,如圖:
7.選擇“自動”,輸入用戶名和密碼,如圖:
8.點擊下一步,如圖:
9.默認,點擊下一步,如圖:
注:一般常用的是“啟動全面自動掃描”和“使用“手動探索”啟動”,二者區別如下:
1)啟動全面自動掃描:工具自動對系統進行掃描,掃描完畢后會顯示掃描結果。不過使用此種方式掃描不全,類似插件的模塊掃描不到。
2)使用“手動探索”啟動:測試人員可以自由靈活的對所有模塊進行掃描操作,掃描結果更加細致。下面以手動探索為例。
10.選擇 “使用“手動探索”啟動 ,點擊完成。通過瀏覽器打開掃描的頁面,如下:
11.進行測試操作,錄制腳本,腳本錄制完畢后,關閉瀏覽器。Appscan頁面顯示錄制的腳本信息,如下圖:
12.點擊“導出”按鈕,保存錄制的腳本,關閉窗口。點擊“文件-導入-探索數據”,選擇剛才錄制的腳本。
13.腳本添加完畢,如下圖:
14.點擊“掃描-繼續僅探索”
15.彈出如下窗口:
16.選擇“是”,保存掃描結果后,開始進行掃描操作。
17.掃描停止后,點擊“掃描-僅測試”,如下圖:
18.開始進行安全測試,捕獲漏洞,如下圖:
注:下方顯示掃描進度。
19.掃描完畢后,掃描界面顯示如下圖:
注:
1)界面中間顯示存在的漏洞類型,展開可查看漏洞的URL;
2)右側顯示具體的漏洞信息,可查看詳情
20.點擊界面的“報告”按鈕,如下圖所示:
21.勾選“在每個問題之后加入分頁(PDF)”,勾選左側的全部信息(為使報告更加詳細),如下圖:
22.點擊“保存報告”,可將報告保存到本地電腦。