刚入职新公司不久,技术总监要求我对现有的几个项目进行安全漏洞测试,不懂安全漏洞测试的我,快快地百度下,后来发现IBM AppScan工具挺适合我们现项目的测试需求,经过学习一段时间,赶鸭子式的运用该工具完成了项目的安全漏洞测试。现做下简单的总结如下:
此流程是采用最简单的流程:扫描配置-》手动探索-》完全扫描-》保存报告
1、打开AppScan软件,在菜单栏【文件】下拉选项中,选择“新建”,弹出如下图的对话框,去掉“启动扫描配置向导”,选择“综合扫描”,完成要使用的模板选择。
2、接着点击工具栏上的【配置】按钮,弹出配置对话框,如下图,要填写“从该URL启动扫描”的被测系统网址,若输入的网址是定位到具体工程的,那就不要勾选上“仅扫描此目录中或目录下的链接”,点击【确定】,完成扫描配置。
3、接着点击工具栏上的【手动探索】按钮,通过浏览器跳转到被测系统的登录界面,你可以操作一遍你要测试的功能模块,关闭浏览器后,会获取到你操作的链接地址加载到如下图的对话框里,选择“添加所有”,点击【确定】。
4、确定后,会要自动扫描下
5、等待自动扫描后,左边程序树会有增加程序节点,如下图:
6、接着点击工具栏的【扫描】下拉选项的“继续完全扫描”,弹出如下图的对话框,选择“是”,弹出保存文件对话框,选择保存文件目录,点击【保存】,可以保存该扫描项目,方便以后的重复扫描使用。
