一、操作前提
1.首先下载Appscan的安装包
2.安装Appscan
二、操作流程
1.双击
图标,打开Appscan软件
2.打开软件后,页面显示如下:
3.选择“文件-新建”,弹出如下的窗口:
4.点击“常规扫描”,页面如下:
5.选择“Appscan(自动或手动)”,点击下一步,如图:
6.在“起始URL”处输入将要扫描的系统的URL,点击下一步,如图:
7.选择“自动”,输入用户名和密码,如图:
8.点击下一步,如图:
9.默认,点击下一步,如图:
注:一般常用的是“启动全面自动扫描”和“使用“手动探索”启动”,二者区别如下:
1)启动全面自动扫描:工具自动对系统进行扫描,扫描完毕后会显示扫描结果。不过使用此种方式扫描不全,类似插件的模块扫描不到。
2)使用“手动探索”启动:测试人员可以自由灵活的对所有模块进行扫描操作,扫描结果更加细致。下面以手动探索为例。
10.选择 “使用“手动探索”启动 ,点击完成。通过浏览器打开扫描的页面,如下:
11.进行测试操作,录制脚本,脚本录制完毕后,关闭浏览器。Appscan页面显示录制的脚本信息,如下图:
12.点击“导出”按钮,保存录制的脚本,关闭窗口。点击“文件-导入-探索数据”,选择刚才录制的脚本。
13.脚本添加完毕,如下图:
14.点击“扫描-继续仅探索”
15.弹出如下窗口:
16.选择“是”,保存扫描结果后,开始进行扫描操作。
17.扫描停止后,点击“扫描-仅测试”,如下图:
18.开始进行安全测试,捕获漏洞,如下图:
注:下方显示扫描进度。
19.扫描完毕后,扫描界面显示如下图:
注:
1)界面中间显示存在的漏洞类型,展开可查看漏洞的URL;
2)右侧显示具体的漏洞信息,可查看详情
20.点击界面的“报告”按钮,如下图所示:
21.勾选“在每个问题之后加入分页(PDF)”,勾选左侧的全部信息(为使报告更加详细),如下图:
22.点击“保存报告”,可将报告保存到本地电脑。