appscan-华克斯-web服务渗透测试解决方案

appscan分析阶段

在分析阶段，结合业务特点，检查是否扫描范围，分析扫描结果，并针对扫描出来的问题，进行分析，产生多种类型的报告等。

appscan扫描结果检查

扫描结束后，建议切换到“应用程序数据”视图中，对页面进行分析，检查是否页面都被测试到了。重点检查如下部分：

交互式 url：一些页面，必须输入正确的信息，才可以跳转到下一个页面，比如查询手机欠费的页面，必须输入正确的 11

位码；查询的页面，必须输入 18 位的号才可以进入后续页面。如果没有配置，appscan

怎么知道输入这些信息？所以如果存在“交互式”url，可以选择该 url 以后，鼠标右键，选择手动探索，在 appscan

浏览器中访问这些页面，输入对应的数据，则 appscan 会自动记录这些输入，并填充到扫描配置 - 自动表单填充中。中断链接：看哪些页面在扫描过程中，访问出错或者无法访问，appscan购买价格，如针对 time out 的页面，就可能是因为网络原因，扫描过程中没有及时响应，可以选择“重试所有中断链接”重新进行访问。

appscan分阶段测试

appscan 的扫描过程分为“探索”和“测试”两个阶段，默认情况下，使用的是完全扫描模式，即是边探索边测试的。如果网站比较大，建议考虑先探索后测试的模式。

如当 url 达到 5000，需要进行的测试达到 50000 的时候，可以暂停扫描，手工停止探索，选择“继续仅测试”。对已经发现和分析的页面进行测试，测试完毕，再来选择“继续仅探索”，即：

继续仅探索 --- 继续仅测试—继续仅探索 - 仅测试的一个循环过程。

在这个过程，一个阶段结束以后，建议查看下 .scan 文件的大小，如果大小超过了 500m，则建议考虑任务分解，可以根据目录把一个扫描任务分解为多个，或者根据扫描策略来进行分解。

该方法是利用了 appscan 扫描过程中，探索测试可以分离，而且支持扫描过程中断后继续扫描的特性。