一、操作前提

1.首先下载Appscan的安装包

2.安装Appscan

二、操作流程

1.双击IBM Appscan基本操作手册-风君雪科技博客图标,打开Appscan软件

2.打开软件后,页面显示如下:

 IBM Appscan基本操作手册-风君雪科技博客

3.选择“文件-新建”,弹出如下的窗口:

 IBM Appscan基本操作手册-风君雪科技博客

4.点击“常规扫描”,页面如下:

 IBM Appscan基本操作手册-风君雪科技博客

5.选择“Appscan(自动或手动)”,点击下一步,如图:

 IBM Appscan基本操作手册-风君雪科技博客

6.在“起始URL”处输入将要扫描的系统的URL,点击下一步,如图:

 IBM Appscan基本操作手册-风君雪科技博客

7.选择“自动”,输入用户名和密码,如图:

 IBM Appscan基本操作手册-风君雪科技博客

8.点击下一步,如图:

 IBM Appscan基本操作手册-风君雪科技博客

9.默认,点击下一步,如图:

 IBM Appscan基本操作手册-风君雪科技博客

  注:一般常用的是“启动全面自动扫描”和“使用“手动探索”启动”,二者区别如下:

  1)启动全面自动扫描:工具自动对系统进行扫描,扫描完毕后会显示扫描结果。不过使用此种方式扫描不全,类似插件的模块扫描不到。

  2)使用“手动探索”启动:测试人员可以自由灵活的对所有模块进行扫描操作,扫描结果更加细致。下面以手动探索为例。

10.选择 “使用“手动探索”启动  ,点击完成。通过浏览器打开扫描的页面,如下:

 IBM Appscan基本操作手册-风君雪科技博客

11.进行测试操作,录制脚本,脚本录制完毕后,关闭浏览器。Appscan页面显示录制的脚本信息,如下图:

 IBM Appscan基本操作手册-风君雪科技博客

12.点击“导出”按钮,保存录制的脚本,关闭窗口。点击“文件-导入-探索数据”,选择刚才录制的脚本。

 IBM Appscan基本操作手册-风君雪科技博客

13.脚本添加完毕,如下图:

 IBM Appscan基本操作手册-风君雪科技博客

14.点击“扫描-继续仅探索”

 IBM Appscan基本操作手册-风君雪科技博客

15.弹出如下窗口:

 IBM Appscan基本操作手册-风君雪科技博客

16.选择“是”,保存扫描结果后,开始进行扫描操作。

17.扫描停止后,点击“扫描-仅测试”,如下图:

 IBM Appscan基本操作手册-风君雪科技博客

18.开始进行安全测试,捕获漏洞,如下图:

IBM Appscan基本操作手册-风君雪科技博客

  注:下方显示扫描进度。

19.扫描完毕后,扫描界面显示如下图:

IBM Appscan基本操作手册-风君雪科技博客

  注:

  1)界面中间显示存在的漏洞类型,展开可查看漏洞的URL;

  2)右侧显示具体的漏洞信息,可查看详情

20.点击界面的“报告”按钮,如下图所示:

IBM Appscan基本操作手册-风君雪科技博客

21.勾选“在每个问题之后加入分页(PDF)”,勾选左侧的全部信息(为使报告更加详细),如下图:

 IBM Appscan基本操作手册-风君雪科技博客

22.点击“保存报告”,可将报告保存到本地电脑。