APPSCAN扫描说明.docx

APPSCAN扫描说明 安装Appscan之前，关闭所有打开的应用程序。点击安装文件，会出现安装向导,如果你还没有安装.Net framwork，Appscan安装过程会自动安装，并需要重新启动。按照向导的指示，可以很容易的完成安装.如果你使用的是默认许可，你将只允许扫描appscan中的测试网站。要扫描自己的网站，需要付费购买许可版本. 探索和测试阶段： 在我们开始扫描之前，让我们对Appscan的工作做一个了解.任何自动化扫描器都有两个目标：找出所有可用的链接和攻击寻找应用程序漏洞。 探索(Explore): 在探索阶段，Appscan试图遍历网站中所有可用的链接，并建立一个层次结构。它发出请求，并根据响应来判断哪里是一个漏洞的影响范围。例如，看到一个登陆页面，它会确定通过绕过注入来通过验证.在探索阶段不执行任何的攻击，只是确定测试方向.这个阶段通过发送的多个请求确定网站的结构和即将??试的漏洞范围。 测试(Test)： 在测试阶段,Appscan通过攻击来测试应用中的漏洞.通过释放出的实际攻击的有效载荷，来确定在探索阶段建立的安全漏洞的情况.并根据风险的严重程度排名。 在测试阶段可能回发现网站的新链接，因此Appscan在探索和测试阶段完成之后会开始另一轮的扫描，并继续重复以上的过程，直到没有新的链接可以测试。扫描的次数也可以在用户的设置中配置. 1. 新建扫描 2. 点击完全扫描配置，弹出以下窗口。 选择环境定义，并对网站使用的web服务器，应用程序 服务器，数据库服务器进行按网站的配置填写。完成后点确定，并再点扫描目标笛导下一步。弹出以下窗口。 通过保存策略，实现扫描的时自动扫描信息记录，同时便于下次直接打开。 保存完成 之后，系统自动开始扫描。扫描的过程中，可以看到右下角的扫描到的问题。分为高危，中危，低危。 以下右下角可以查看具体的问题以及修复的任务。 扫描完成后，可以开始报告。 报告类型可以使用安全性方式报告 ，直观显现问题所在，以及问题修复点， 点预览，可以出现以下报告查看窗口，再点保存，可以保存本报告。完成报告任务。