前提:預先安裝好AppScan工具,我的版本是9.0.3.7
1.新建掃描,一般選擇 常規掃描,文件--新建 或者 ctrl+N;
2.掃描配置向導,第一種為web掃描,第二種是app掃描需要設置代理,下一步;
3.輸入想要測試的URL,會自動檢測是否連接到服務器,下一步;
4.有兩個地方要注意一下,登錄方法 記錄 和 尚未記錄登錄
測試web沒有驗證碼情況下,可以使用(“記錄”和“自動”登陸方法);
有驗證碼情況下,可以使用“提示”登陸方法;
推薦使用“記錄”方法;
①點擊記錄進入,選擇Appscan ie瀏覽器(推薦),會打開設置一個剛剛設置需要測試的URL地址,進行記錄登錄賬號、密碼操作;
登錄成功后,點擊【我已登錄到站點】,AppScan會開始分析(需要一會兒),然后記錄登錄操作,會執行注銷操作。
記錄成功后,自動返回到登錄管理,此時狀態
會顯示基於操作的登錄;下一步
5.幾種測試策略說明
缺省值:該策略包含所有測試,但侵入式和端口偵聽器測試除外;
僅應用程序:包含所有應用程序級別的測試,但不包含侵入式和端口偵聽器;
僅基礎結構:包含所有基礎結構級別的測試,但不包含侵入式和端口偵聽器;
侵入式:包含所有侵入式測試(可能影響服務器穩定性的測試);
完成:該策略包含所有 AppScan 測試,但端口偵聽器測試除外;
關鍵的少數:包含一些成功可能性較高的測試精選,在時間有限時對站點評估可能有用;
開發者精要:包含一些成功可能性極高的應用程序測試的精選,在時間有限時對站點評估可能有用;
僅第三方:該策略包含所有第三方級別測試,但侵入式和端口偵聽器測試除外;
生產站點:此策略“排除”可能損壞站點的侵入式測試,或測試可能導致“拒絕服務”的其他用戶;
Web Services:該策略包含所有 SOAP 相關的非侵入式測試;
選擇合適的策略后,下一步
6.完成,選擇啟動全面自動掃描,完成
7.掃描測試完成后,會將結果呈現,包括一些高、中、低風險問題,需要開發人員處理;
8.導出保存報告;
