appscan教程-appscan-华克斯

appscan安全测试的详细方法

一）测试工具

appscan，即 appscan standard edition。其安装在 windows 操作系统上，可以对网站等 web 应用进行自动化的应用安全扫描和测试。

简单理解，就是appscan工具先抓取出所有的接口，接着利用自身的安全用例库，对接口传各种参数，验证接口是否有安全漏洞。

二）测试步骤

基本思路：自动探索--特殊配置--手动探索---仅测试--导出报告。

以测试一个web应用为例，介绍一次完整的安全测试流程。

1、打开appscan，文件--新建--扫描web应用程序

2、填写起始url地址

这里有个坑：填写登录页面的地址，appscan报告，是未登录之前，因为有的页面没有做重定向处理，后续测试的时候会一直提示登录。

3、填写登录管理信息

登录系统的方式，有三个选项：

1）记录：---“记录”按钮，进行录制登录操作。操作类似于用lr做---录制，适用于没有---的场景。

2）自动：输入用户名和密码，扫描时会自动根据这个凭证登录应用程序，没有---时，使用该场景。

3）提示：根据扫描地址，每次需要登录时会弹出相应登录页面，如遇后台登录有---时使用此场景。

记录和自动的差别不大，都是适用于没有---的场景，appscan，而且都只需要输入一次用户名和密码，不同之处在于 「记录 」是在浏览器登录页面输入密码，「自动 」是直接在appscan的页面输入密码。

appscan安全测试的详细方法

二）测试步骤

4、测试策略

在实际测试过程中，要完整的测试就选「完成」策略，一般情况下选「缺省值」策略。

简单介绍下7种测试策略：

1）缺省值：包含多有测试，但不包含侵入式和端口---

2）仅应用程序：包含所有应用程序级别的测试，但不包含侵入式和端口---

3）仅基础结构：包含所有基础结构级别的测试，但不包含侵入式和端口---

4）侵入式：包含所有侵入式测试（可能影响服务器稳定性的测试）

5）完成：包含所有的appscan测试

6）关键的少数：包含一些成功可能性较高的测试---，在时间有对站点评估可能有用

7）精要：包含一些成功可能性---的应用程序测试的---，在时间有对站点评估可能有用