整理appscan使用文档.docVIP

PAGE PAGE 1 环境搭建 软件下载 官网下载地址：/developerworks/cn/downloads/r/appscan/ 破解版下载地址：/s/1dFFti85 密码：u7z3 软件安装 直接运行安装包，按照提示安装即可 软件破解 将破解补丁替换“..\..\IBM\AppScan Standard”安装目录下同名文件 测试流程 以下内容以appscan9.0为例 启动appscan 点击运行appscan.exe即可 创建扫描 在欢迎页面选择-创建新的扫描…，打开新建扫描面板，如下图： 9.0没有综合扫描模板，一般选择常规扫描模板，选择模板后打开扫描配置面板，如下图： 在扫描向导中选择扫描类型，一般选择web应用程序扫描； 若要选择web service扫描，需安装GSC； 除了按照提示一步步操作，也可以点击右下角完全扫描配置进行扫描配置（具体可参照二.3）； 选择完扫描类型后，点击下一步打开配置URL和服务器面板，如下图： 起始URL中输入要扫描的站点，可以是域名格式，也可以是IP格式； 如果勾选了“仅扫描此目录中或目录下的链接”，则会只扫描起始URL目录或者子目录中的链接； 区分大小写的路径：如果选中，则大小写不同的链接会被视为两个页面，如A.apsx和a.spsx；建议linux或UNIX服务器时勾选，windows服务器时不勾选； 其他服务器和域：如果应用程序包含的服务器或域不同于“起始 URL”包含的服务器或域，则应该添加到此处，如和二级域不同； 我需要配置其他连接设置：缺省情况下，AppScan 会使用 Internet Explorer 代理设置，默认不勾选，若勾选，点击下一步会打开配置代理页面； 配置完成后，点击下一步打开登录管理面板，如下图： 登录管理提供4种选项： 记录：推荐使用，选择此项，appscan将使用所记录的登录过程，从而像实际用户一样填写字段。 单击记录按钮，打开自带浏览器记录登录过程，登录完成后关闭浏览器，会自动将 登录过程列出。 提示：如果每次登录都需要人机交互，请选择该选项。 您必须仍然记录登录过程。虽然 AppScan 将不会使用您记录的过程来尝试登录， 但是它需要将该过程作为参考来了解何时已被注销。 自动登录：如果 AppScan 可仅使用名称和密码来登录，而不需要特定的过程，请选择该选项，然后输入“用户名”和“密码”。 不登录：仅当应用程序不需要登录时，或因为其他原因，您不想 AppScan 登录时，才选择该选项。 若账号密码错误，会提示：回话页面未识别，需修改登录管理方式或登录账号密码 如果选中我想要配置会话中检测选项复选框，那么在单击下一步时，将会打开一个附加的向导步骤：登录管理：“其他”设置。默认不选中。 登录管理配置完成后，点击下一步，打开测试策略面板，如下图： Appscan预定义的测试策略可满足常见需求的有用策略的范围： 策略名称 描述 缺省值 包含所有测试，但侵入式和端口侦听器测试除外。 仅应用程序 包含所有应用程序级别的测试，但侵入式和端口侦听器测试除外。 仅基础结构 包含所有基础结构级别的测试，但侵入式和端口侦听器测试除外。 仅第三方 包含所有第三方级别测试，但侵入式和端口侦听器测试除外。 侵入式 包含所有侵入式测试（可能影响服务器稳定性的测试）。 完成 包含所有 AppScan 测试，但端口侦听器测试除外。 Web 服务 包含所有 SOAP 相关测试，但侵入式和端口侦听器测试除外。 关键的少数 包含一些成功可能性极高的测试精选。 在时间有限时对站点评估可能有用。 开发者精要 包含一些成功可能性极高的应用程序测试的精选。 在时间有限时对站点评估可能有用。 发送登录和注销页面上的测试：缺省情况下，AppScan 将测试登录和注销页面以及应用 程序的其余部分。 您应该保持该缺省配置，除非： 您的应用程序具有安全保护，可阻止在这些页面上提供非法输入的用户，或如果测试这些页面，您的应用程序流程会改变 如果不确定您的应用程序会如何响应这些测试，那么请保持选定该选项。 在测试登录页面时不发送会话标识：（该复选框仅当选中了先前复选框时才会处于活动 状态并缺省选中。）建议将此复选框保留为选中状态，因为测试登录页面时会话标识可能会导致测试不成功。仅当您确定需要有效会话令牌来测试登录页面时，才应清除该复选框。 如果不确定您的应用程序会如何响应，那么请保持选定该选项。 完成测试策略配置后，点击下一步将打开完成配置面板，如下图： 完成配置面板可供选择启动扫描的方式如下： 启动全面自动扫描：启动应用程序的全面扫描（“探索”后将立即进行“测试”）。 使用仅自动“探索”来启动：探索应用程序，但不继续“测试”阶段。（可以稍后运行“测试”阶段）。 使用手动探索来启动：浏览