APPScan安裝與使用教程

標籤：指令碼   掃描策略   分頁   組成   項目   建立   外掛程式   威脅   基礎   

一、安裝

1、右鍵安裝檔案，以管理員身份運行，如所示：

2、點擊【確定】

3、點擊【安裝】

4、選擇：我接受許可協議中單位全部條款，點擊【下一步】

5、點擊【安裝】到該目錄

6、如果需求掃描Web services點擊【是】安裝該外掛程式，如果不需要點擊【否】如果只是掃描web就不需要安裝

7、點擊【完成】

8、安裝完成之後把LicenseProvider.dll檔案將它複製放到安裝目錄下覆蓋原來的

二、使用步驟

1、開啟AppScan軟體，點擊工具列上的 檔案–>建立，出現一個dialog

2、點擊“Regular Scan”，出現掃描設定精靈頁面，這裡是選擇“AppScan(自動或手動)“，

3、輸入掃描項目目標URL

4、點擊”下一步“，選擇認證模式，出現登入管理的頁面，這是因為對於大部分網站，需要使用者名稱和密碼登入進去才可以查看許多內容，未登入的情況下就只可以訪問部分頁面。【用於登入測試專案網站的使用者名稱及密碼,例如：使用者名稱：admni密碼“12345】

5、點擊”下一步“，出現測試策略的頁面，可以根據不同的測試需求進行選擇

6、點擊”下一步“，出現完成設定精靈的介面，這裡使用預設配置，可根據需求更改，如：

7、點擊”完成“，設定儲存路徑，即開始掃描，如：

掃描設定：

在測試策略中，有多種不同的分組模式，最經常使用的是“嚴重性”，“類型”，“侵入式”、“WASC威脅分類”等標準，根據不同分組選擇的掃描策略，最後組成一個共同的策略集合。

測試策略選擇步驟如下：

1.選擇預設的掃描策略，切換到按照“類型”分類，取消掉“基礎結構”和“應用程式”兩種類型。

說明：把掃描策略置空，沒有選擇任何的掃描策略。在分組類型中選擇“類型”分類，類型分類中只有兩種類型：“基礎結構”和“應用程式”，可以快速全部都取消掉。

2.分組類型，切換到“WASC威脅分類”，選擇“SQL注入”和“跨網站指令碼編製”。

3.分組類型，切換到“類型”，發現這時候“基礎結構”和“應用程式”兩種類型的掃描策略都是選擇上的模式，而且是虛線，說明這兩種類型下均有部分掃描策略被選擇了，我們不關心“基礎結構”層級的安全問題，所以在這裡取消“基礎結構”。

4.分組類型，切換到“侵入式”，發現這時候“侵入式”和“非侵入式”兩種類型的掃描策略都是選擇上的模式。“侵入式”會有有比較強的副作用，可能對系統造成傷害，所以一般掃描生產系統的時候，很少選擇。這裡把“侵入式”的用例取消掉。

把選擇好的測試策略，我們可以把它匯出成一個模板，方便以後使用：

APPScan安裝與使用教程