华克斯-appscan总代理-appscan

appscan案例分析

6.同时，发现了 swf 文件，应该不准备扫描 flash，所以在“排除文件类型”中，设置根据后缀名排除 swf 文件。

7.发现

目录下存在大量如下类型的页面，都是 menu 参数值不同，访问以后发现出现的是页面中有不同的超链接：

确认该页面是业务类型的“冗余路径”，hcl appscan，应该扫描，则需要把“冗余路径设置”调整为比较大的参数，同时该频道是网上营业厅频道，也要求用户先登录。所以针对该目录建立一个单独的扫描任务，只扫描该目录和其下子目录。

8.分析发现 index.jsp 在多个目录下出现，而且每次出现都有两种格式，即没有参数和有固定的三个参数，每次的参数值都相同。如：

访问上面的页面，发现内容相同，则说明是否带这三个参数不会影响探索发现更多的页面，appscan，则可以设置这三个参数每次是否出现，是否有不同值都可以认为是同一个页面。

设置方法：扫描配置中依次选择“参数和 cookie”来实现。然后增加 querytype，appscan总代理，applyarea，kbkey 三个参数，均设置为“是否有参数”、“参数是否变化”不影响测试的模式。

appscan测试移动应用程序安全性

appscan 会以 http&html 标准格式来识别参数，如果参数是以其他格式构建的（比如 restful 消息），必须手工配置 appscan 才能进行有效的解析参数，从而进行扫描。

移动应用程序和人们的生活联系日趋紧密，应用程序的安全性问题也得到越来越多的重视。移动应用程序的交互模式和常用的网络协议，基于 ibm security appscan 提供了测试移动应用程序安全性的方法介绍和实践：包括如何配置 appscan 使其适应移动测试的特性；如何使用 appscan 进行参数配置，使其可解析主流的 restful 消息。