安全扫描工具 AppScan

发表于:2017-9-12 11:07

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:知了    来源:51Testing软件测试网采编

分享:
  IBMRationalAppScan是一个面向Web应用安全检测的自动化工具,使用它可以自动化检测Web应用的安全漏洞
  比如跨站点脚本攻击(CrossSiteScriptingFlaws)、注入式攻击(InjectionFlaws)、失效的访问控制(BrokenAccessControl)、缓存溢出问题(BufferOverflows)等等。
  这些安全漏洞大多包括在OWASP(OpenWebApplicationSecurityProject,开放式Web应用程序安全项目)所公布的Web应用安全漏洞中。
  使用教程:
  1、打开AppScan软件,点击工具栏上的文件–>新建
  2、点击“RegularScan”,出现扫描配置向导页面,这里是选择“Web应用程序扫描
  3、点击”下一步“,出现URL和服务器的配置页面,如图,输入需要测试的URL
  特别说明:
  在“起始URL”下面输入需要启动扫描的URL,如果勾选了“仅扫描此目录中或目录下的链接”(如下图),则会只扫描起始URL目录或者子目录中的链接。
  举例:如果我们的网站www.sina.com.cn下面有两个目录test1和test2,当起始URL中输入"http://www.sina.com.cn/test1/"并勾选“仅扫描此目录中或目录下的链接”的时候,appscan不会扫描“www.sina.com.cn/test2”目录下的所有链接。
  另外,如果被扫描对象的主机是unix或者linux,建议勾选下面的“将所有路径作为区分大小写来处理(Unix、Linux等)(T)”选项(如下图),因为unix或者linux是对大小写敏感的;如果被扫描对象的主机是windows主机,则没有必要勾选此项。
  如果扫描的时候需要顺便扫描其它的服务器或者域,则需要在底下的“其它服务器和域”中添加对应的路径(如下图)。
  4、点击”下一步“,出现登录管理的页面,这是因为对于大部分网站,需要用户名和密码登录进去才可以查看许多内容,未登录的情况下就只可以访问部分页面。
  最常用的登录方法有两种:记录和自动
  5、点击”下一步“,出现测试策略的页面,可以根据不同的测试需求进行选择,这里选择的是”完成(Complete)“,即进行全面的测试
  如果需要在登录注销页面上进行攻击测试,则需要勾选“发送登录和注销页面上的测试”两个勾选框(如下图),然后点击下一步。
  6、点击”下一步“,出现完成配置向导的界面,这里使用默认配置,可根据需求更改,如下图:
  7、点击”完成“,设置保存路径,即开始扫描,如下图:
  8、待扫描专家分析完毕,点击”扫描–>继续完全扫描“即可。
  9、等待测试完毕,即可分析结果。
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号