APPSCAN安全测试工具使用（转帖）

梦幻小丑灯

扫描原则

扫描的原则

“Appscan全面扫描”包含两个阶段：探索和测试。

探索阶段

在第一个阶段里，appscan会通过模仿成web用户单击链接并填写表单字段来探索站点（web应用程序或web server）这就是探索阶段。

探索阶段可以遍历每个URL路径，并分析后创建测试点。

测试阶段

“测试”期间，appscan会发送它在“探索”阶段创建的成千上万个定制的测试请求，通过你定制好的测试策略分析每个测试的响应，最后根据规则识别应用程序中的安全问题，并排列这些安全问题的风险级别。

三、CRM项目实践

1、打开工具，点击文件-新建，选择常规扫描：



2、直接点击下一步，再第二个操作页面输入CRM地址，直接点下下一步：





3、点击记录下-IE浏览器，界面跳转到下一步：



4、再弹出框中输入公司名、用户、密码、验证码，回车登录到系统：



5、点击我已登录到站点，开始分析数据，等待界面自动跳转会设置界面，并点击下一步：





6、直接点击下一笔，选择挨冻全面自动扫描，点击完成：





7、点击是，选择要保存的位置，并输入文件名：





8、保存成功后，工具自动启动扫描（注：扫描过程预计要2h以上）：



9、点击扫描日志，可以查看工具运行过程信息：



10、待扫描结束后，点击报告-保存报告，选择保存位置，点击保存：





11、保存完成后，可直接打开查看安全测试报告：安全扫描_V1.0 安全报告.pdf
————————————————
版权声明：本文为CSDN博主「lincongzhi666」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/lincongzhi666/article/details/80568213

applepen

工具是好工具。就是太贵了。