1.新建掃描:一般選擇 常規掃描
2.選擇掃描的平台:web或app
3.掃描配置向導
①配置URL和服務器
②配置登錄管理
在掃描的過程中,可能會不小心碰到退出按鈕導致Appscan注銷.因此,要登陸到應用程序中,我們需要根據需求設置。
在測試的web沒有驗證碼情況下,可以使用(1和3種登陸方法)
在web有驗證碼情況下,可以使用第二種登陸方法。推薦使用第一種方法。
記錄:選擇此項后,會出現一個新的瀏覽器,並嘗試鏈接到指定的網站作為本掃描的起始URL.你需要輸入賬號和密碼登陸到應用程序.這樣設置之后你可以關閉瀏覽器,但是不要點擊注銷按鈕。有時候你會發現打開的瀏覽器不是IE或者Mozilla,而是Appscan瀏覽器.你可以改變通過設置來改變這個。工具-->Options -->Advanced,設置OpenIEBrower的值0--Appscan瀏覽器,1--IE,2--Firefox,3--Chrome.如果該網站的行為在不同的瀏覽器下有所不同,這個設置將是非常有用的.
提示:每次注銷之后,Appscan會提示你登陸到應用程序中.如果你打算整個掃描你的系統,你可以選擇這個選項。
自動:在這里可以直接指定用戶名和密碼,當需要登陸到應用程序的時候。
在瀏覽器打開的界面(需掃描的web)上輸入用戶名和密碼后,點擊系統的登錄按鈕。如果登錄成功,可點擊【我已登錄到站點】。appscan會開始分析登錄操作,若成功記錄下登錄操作,會執行注銷操作。
appscan執行完注銷操作后,會回到配置向導界面:有
標志,說明已記錄成功。
③測試策略
掃描期間,AppScan® 發送的測試數量可以達到數千。有時,最好將掃描限制在僅掃描特定類型,以減少掃描時間。這是“測試策略”。幾種測試策略說明:
缺省值:包含多有測試,但不包含侵入式和端口偵聽器
僅應用程序:包含所有應用程序級別的測試,但不包含侵入式和端口偵聽器
僅基礎結構:包含所有基礎結構級別的測試,但不包含侵入式和端口偵聽器
侵入式:包含所有侵入式測試(可能影響服務器穩定性的測試)
完成:該策略包含所有 AppScan 測試,但端口偵聽器測試除外。
關鍵的少數:包含一些成功可能性較高的測試精選,在時間有限時對站點評估可能有用
開發者精要:包含一些成功可能性極高的應用程序測試的精選,在時間有限時對站點評估可能有用
僅第三方:該策略包含所有第三方級別測試,但侵入式和端口偵聽器測試除外。
生產站點:此策略“排除”可能損壞站點的侵入式測試,或測試可能導致“拒絕服務”的其他用戶。
Web Services:該策略包含所有 SOAP 相關的非侵入式測試。
選擇合適的策略后,點擊【下一步】
④完成
選擇--啟動全面自動掃描,點擊【完成】按鈕。
4.啟動掃描專家
掃描專家會先大致的探索被測網站,提出建議,以更好的掃描應用程序。
掃描專家建議:
可手動配置環境:提高性能和准確性。
5.開始測試
應用掃描專家的建議后,整個掃描就開始了。系統先會掃描大致的網站,了解所需測的頁面、測試元素、發送請求數。掃描結束后,開始測試。
6.測試結束
7.生成測試報告
