appscan的使用

Appscan的使用

一、Appscan（web安全漏洞扫描）

Appscan支持SQL 注入（SQL-injection）、跨站点脚本攻击（cross-site scripting）、缓冲区溢出（buffer overflow）及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。能够提供详细的漏洞公告和修复建议。

二、工作原理

通过搜索（爬行）发现整个 Web 应用结构；根据分析，发送修改的 HTTP Request 进行攻击尝试（扫描规则库）；通过对于 Respone 的分析验证是否存在安全漏洞。

 

三、操作步骤

点击创建新的扫描->常规扫描

 

进入扫描配置向导页面

1. 使用配置向导的辅助扫描则点击【下一步】
2. 选择“完全扫描配置”可自行配置扫描内容

输入被测url，可跳转到被测网站，检查是否正确 

 

一直点击下一步，然后配置测试策略，这里一般选择“完成”

点击【下一步】，完成扫描配置，进入测试

 

 

在此期间都可以选择自行“完全扫描配置”

选择配置“探索”，可设置url、参数cookie、填充表单、错误页面的展示等内容

 

 

“测试”可选测试策略，针对性选择需要测试的安全内容，例如sql注入、xss等

 

测试页面可查看一些测试产生的数据

 

 

任务结束后，点击【问题】可查看对应问题信息、咨询、修订建议等

 

 

点击【报告】，可选择输出报告的内容及模板格式

最后保存报告即可