appscan-appscan----华克斯(商家)

appscan使用步骤

7.进行扫描：

appscan扫描分类：

完全扫描、仅探索、仅测试。

1）完全扫描：探索+测试一起（适用于需要扫描的页面和元素较少的情况）

2）先探索、后测试：扫描的页面和元素较多的情况

3）探索：扫描出整个系统的基本结构和页面

4）测试：根据配置的信息，比如测试策略等对页面中的元素进行测试

然后选择“继续仅测试”，只对前面探索过的页面进行测试，不对新发现的页面进行测试。“完全测试”就是把两个步骤结合在一起，appscan---，一边探索，一边测试。

8.报告的生成

9.查看扫描结果

appscan安全测试的详细方法

一）测试工具

appscan，即 appscan standard edition。其安装在 windows 操作系统上，可以对网站等 web 应用进行自动化的应用安全扫描和测试。

简单理解，就是appscan工具先抓取出所有的接口，接着利用自身的安全用例库，对接口传各种参数，验证接口是否有安全漏洞。

二）测试步骤

基本思路：自动探索--特殊配置--手动探索---仅测试--导出报告。

以测试一个web应用为例，介绍一次完整的安全测试流程。

1、打开appscan，文件--新建--扫描web应用程序

2、填写起始url地址

这里有个坑：填写登录页面的地址，是未登录之前，因为有的页面没有做重定向处理，后续测试的时候会一直提示登录。

3、填写登录管理信息

登录系统的方式，有三个选项：

1）记录：---“记录”按钮，appscan，进行录制登录操作。操作类似于用lr做---录制，适用于没有---的场景。

2）自动：输入用户名和密码，appscan总，扫描时会自动根据这个凭证登录应用程序，没有---时，使用该场景。

3）提示：根据扫描地址，每次需要登录时会弹出相应登录页面，如遇后台登录有---时使用此场景。

记录和自动的差别不大，appscan移动云平台，都是适用于没有---的场景，而且都只需要输入一次用户名和密码，不同之处在于 「记录 」是在浏览器登录页面输入密码，「自动 」是直接在appscan的页面输入密码。