appscan-华克斯-appscan介绍

appscan测试移动应用程序安全性

ibm security appscan 产品系列是 ibm 安全框架解决方案中应用安全的一个重要部分，appscan，可以实现对网络应用安全漏洞的动态扫描、代码静态分析，以及针对已上线的系统做 ---攻击 测试。除了应用在传统的 pc 端外，ibm security appscan 还可用于移动端应用程序的安全性测试。

移动应用程序安全性测试特点　　

移动应用通常包括 mobile 端和 server 端，mobile 端和 server 端的数据交互一般通过 web service 的方式进行。web service 是使应用程序以与平台和编程语言无关的方式进行相互通信的一种 技术， web service 通常采用 soap 协议进行交互，这些 web service 具有标准的 wsdl 文件来描述其接口规范。通过扫描 wsdl 文件，可以轻易的从根节点开始获取所有接口的输入输出参数，并在此基础上进行分析和模拟hacker攻击找出漏洞。使用 ibm security appscan，测试人员录入根 url 或者 wsdl 文件地址，即可以实现自顶向下的安全性探索和验证。appscan 会根据 wsdl 信息来遍历待测程序，appscan介绍，根据 安全测试领域已有的六大类安全威胁来组合参数，寻找潜在的安全问题和模拟hacker攻击，探测出待测应用程序的漏洞，appscan报价，定义其---性并给出修复建议。

appscan 工作流程

选择模板：预定义的扫描配置即是扫描模板。您可以装入“常规扫描”模板，appscan安全测试工具，其他预定义模板，或者先前已保存的模板。 （您可以稍后按照要求为当前扫描调整配置。）

应用程序或 web service 扫描：扫描 web service 要求用户使用 gsc (generic service client) 进行一些手动输入，以向 appscan 说明如何使用此服务。

appscan：如果您扫描的不是 web service，或者如果您要扫描应用程序中其 web service 以外的部分，请保留此缺省选项的选中状态。

外部设备/客户机：如果您要扫描没有与其对应的 wsdl 文件的某个服务，请选择该选项。您将把 appscan 配置为记录代理，并通过 appscan 从外部客户机发送请求。