appscan10是一款專門為安全專家和測試人員設計的動態應用程序安全測試工具,這樣就可以輕松的幫助用戶開發更安全的軟件,有效的為用戶避免在開發生命周期后期出現代價高昂的漏洞。該軟件內置強大的掃描引擎,可以自動爬網目標應用程序並測試漏洞,並其中的測試出來的結果會按照優先級的方式來呈現出來,這樣就能夠使操作員更快速的分類問題並率先完善發現最關鍵的漏洞,同時,appscan10還會自動為用戶們提供明確且可行的修復建議,從而即可更輕松地對每個發現的問題進行補救。而且,該軟件擁有全面的安全測試套件,支持測試Web應用程序、Web服務以及移動后端,並會利用基於操作的專有技術和數以萬計的內置掃描來持續檢查,從而通過這種持續測試和評估Web服務和應用程序的風險檢查,更有助於防止破壞性的安全漏洞。
一、AppScan的下載安裝
安裝包的路徑:
1、下載解壓縮,得到獲得appscan10中文版原程序和對應破解補丁;
2、雙擊AppScan_Setup_10.0.0.exe程序;
3、勾選“我接受許可協議中的全部條款”,然后繼續安裝;
4、選擇軟件安裝路徑,默認即可;
5、安裝完成后先不要運行軟件,點擊完成退出引導;
6、將破解補丁文件夾中rcl_rational.dll復制到軟件安裝目錄下替換;
【默認路徑C:\Program Files (x86)\HCL\AppScan Standard】
7、然后運行AppScan10,點擊”幫助-許可證-切換到IBM許可證“;
8、選擇打開Appscan License Manager,在”許可證配置-節點鎖定許可證文件“中AppScanStandard.txt作為許可證;
9、至此,appscan10中文破解版成功激活,所有功能全部免費使用。
二、AppScan的使用
自動掃描:
1、雙擊打開appscan,點擊掃描web應用程序;(以元數據管理產品為示例:http://192.168.0.211:8920/#/login)
說明:若只對Web程序本身的漏洞檢測,就選Web 應用程序掃描即可;若需要對Web服務進行掃描,則選擇Web Service
2、在起始url中輸入你要掃描web系統的url,若顯示已連接到服務器,且點擊在瀏覽器中查看后可打開應用的界面,即可進行安全測試;
備注:由於appscan默認使用appscan IE瀏覽器,有時存在無反應情況,故可根據測試系統適配的瀏覽器進行設置,在菜單欄點擊工具--》選項--》首選項--》記錄並查看瀏覽器--》appscan Chromium瀏覽器即可打開;
3、設置登錄管理;(以記錄為示例)
說明:
1.若登錄方法選擇“記錄”,則可通過界面右側的“記錄(R)”按鈕打開APPScan內置瀏覽器並輸入登錄信息,內置瀏覽器會自動關閉,AppScan即可記錄該用戶名和密碼,掃描的時候相當於是已登錄此賬戶的狀態進行掃描;【記錄登錄時可多操作一些菜單或者鏈接,若時間過短,會話可能檢測失敗,無法記錄上登錄信息】
2.若選擇“提示”,則根據網站掃描探索過程中需要登錄會提示輸入登錄信息,人工輸入正確的賬號信息之后繼續掃描;
3.若選擇“自動”,則填寫用戶名和密碼,APPScan在掃描過程中,會自動使用用戶名和密碼登錄繼續掃描;
4.若選擇“無”,則不需輸入登錄賬戶)
4、登錄管理詳細信息,顯示剛剛記錄的登錄信息,點擊驗證,可對已保存的登錄信息進行回放驗證;
5、測試策略我們一般默認選擇缺省值;
6、測試優化我們一般默認快速,直接點擊下一步;
7、點擊完成,點擊是后等待掃描結束;
手動掃描:
在軟件上點擊‘手動探索’,選擇對應的內置瀏覽器(這里我們選擇appscan Chromium瀏覽器)
若沒有配置起始的url,點擊是,去配置起始的url,應用后再次點擊‘手動探索’,選擇對應的內置瀏覽器
選擇完對應的內置瀏覽器后,會自動打開初始url地址並開始錄制腳本,此時可登錄系統,進行元數據產品所有功能的操作,操作結束后,點擊確定按鈕;
此時會顯示出手動探索發送的所有數據,點擊確定進行掃描
掃描結束后,點擊報告,設置導出報告的內容、樣式和布局,點擊保存報告即可;
