appscan移动端扫描-华克斯-appscan

appscan检查阶段

在扫描执行过程中，需要检查，看是否存在下面的情况：

提示网络连接不上，或者提示部分页面无法打开。则检查是否是扫描速度过快，服务器不能承受不了，根据情况修改扫描配置 - 连接 - 通信和代理，增加“超时”数，并考虑减少“并发线程数”，以允许更长时间的等待页面影响并减少对服务器的访问连接数。发现扫描出的安全问题，包含我们不关心的安全---，则取消掉这些规则。如发现了一个安全---，类型是“sql

注入文件写入（需要用户验证）”，该问题是需要用户根据提示来检查的，并且是针对 sql 数据库的，如果我们使用的数据库不是 sql

数据库，或用户确认后没有发现线索，则就可以在扫描配置 - 测试 - 测试策略中取消选择该策略。执行“计划阶段”的检查，看是否还存在“伪静态页面”，“业务类型的冗余路径”等，如果存在，则调整扫描配置。

appscan功能

1.通过探索（爬行）发现整个web应用结构（找出所有可用的链接）

2.根据分析，发送修改的http request进行攻击尝试（攻击寻找应用程序漏洞）

3.通过对于resp0nse的分析验证是否存在安全漏洞

appscan 的扫描 分三类：完全扫描 、仅探索、仅测试

如果系统需要扫描的页面或是元素较少 可以直接选中 完全扫描（ 其实就是探索和测试---）

如果页面需要扫描的页面和元素比较多时，可以分开来，先探索，探索完成后再进行测试。目的是了解被测的网站结构，评估范围。 探索也就是 扫描出整个系统的基本结构和页面。

测试 就是根据你所配置的信息 如测试策略、---等等 对页面中的元素进行测试 从而得出安全性问题。 只对前面探索过的页面进行测试，不对新发现的页面进行测试