APPSCAN安全测试工具使用(转帖)
扫描原则扫描的原则
“Appscan全面扫描”包含两个阶段:探索和测试。
探索阶段
在第一个阶段里,appscan会通过模仿成web用户单击链接并填写表单字段来探索站点(web应用程序或web server)这就是探索阶段。
探索阶段可以遍历每个URL路径,并分析后创建测试点。
测试阶段
“测试”期间,appscan会发送它在“探索”阶段创建的成千上万个定制的测试请求,通过你定制好的测试策略分析每个测试的响应,最后根据规则识别应用程序中的安全问题,并排列这些安全问题的风险级别。
三、CRM项目实践
1、打开工具,点击文件-新建,选择常规扫描:
2、直接点击下一步,再第二个操作页面输入CRM地址,直接点下下一步:
3、点击记录下-IE浏览器,界面跳转到下一步:
4、再弹出框中输入公司名、用户、密码、验证码,回车登录到系统:
5、点击我已登录到站点,开始分析数据,等待界面自动跳转会设置界面,并点击下一步:
6、直接点击下一笔,选择挨冻全面自动扫描,点击完成:
7、点击是,选择要保存的位置,并输入文件名:
8、保存成功后,工具自动启动扫描(注:扫描过程预计要2h以上):
9、点击扫描日志,可以查看工具运行过程信息:
10、待扫描结束后,点击报告-保存报告,选择保存位置,点击保存:
11、保存完成后,可直接打开查看安全测试报告:安全扫描_V1.0 安全报告.pdf
————————————————
版权声明:本文为CSDN博主「lincongzhi666」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/lincongzhi666/article/details/80568213 工具是好工具。就是太贵了。
页:
[1]
