App Scan用法：

首先打開IBM Security AppScan Standard 工具


點擊 創建新的掃描 -> 點擊”常規掃描“ ->之后你就會看到如下圖：



這里你可以直接點擊 ”下一步“ 或是點擊 ”完整掃描配置“

先點擊 ”完整掃描配置“

URL 和服務器

1.在起始URL中輸入你要掃描的網站網址
2.你的系統中可能還包括其他的域名可以在這里添加，注意格式要求（不能直接輸入整個網址，可以使用fiddler4檢測工具 獲得系統所訪問的地址）

點擊 登錄管理：
如果的你系統剛開始要登錄的話這里要進行設置，如果不需要登錄直接選擇 選中” 無“ 即可。


需要登錄的話 鼠標移到 ”登錄“按鈕后點擊上圖的 ”使用AppScan 瀏覽器“ 就會根據你的URL 打開登錄頁面，要你輸入賬號和密碼
（我測試的這個頁面沒有登錄界面） ，當登錄成功后點擊 ”我已登錄到站點“ 按鈕，這樣就會記錄你的登錄序列





記錄成功后，點擊 標簽 ”詳細信息“ 可以查看到驗證的成果




環境定義 可以不進行更改 直接默認就好


排除路徑和文件
有需要的排除的路徑和文件 可以在這里添加。（我之前掃描這個系統，有個路徑執行saveOrUpdate操作，每次執行到這類路徑，掃描就掃不動了，而且總是會session重復登錄，之后在這邊把它排除掉，掃描速度就提了好多。所以對于那些無關緊要的網址可以在這邊排除掉）


探索選項 要適當進行修改


Glass Box


連接-
通信 和代理





其他的一般情況 就不需要進行設置了，默認就好了。 設置完后你可以導出為模板，以便下次使用。
確定按鈕 后 又返回到下圖：


因為你之前以及設置過了，所以一直點 ”下一步“，


點擊 完成 后 如果勾選了 掃描專家 ，會先啟動 掃描專家 進行掃描優化（我比較煩這個，所以不勾選）
直接進入掃描了。


如上圖： AppScan 的掃描 分三類：完全掃描 、僅探索、僅測試

如果系統需要掃描的頁面或是元素較少 可以直接選中 完全掃描（其實就是探索和測試一條龍服務）

如果頁面需要掃描的頁面和元素比較多時，可以分開來，先探索，探索完成后再進行測試。

探索也就是 掃描出整個系統的基本結構和頁面。
測試 就是根據你所配置的信息 如測試策略、深度等等 對頁面中的元素進行測試 從而得出安全性問題

如果只是對系統中某個模板進行 掃描的話，可以 通過 ”手動探索“ 獲取需要掃描的指定頁面



在頁面中 點擊到你需要測試的模塊頁面，后單擊 ”暫停記錄“ 按鈕 后關閉頁面。



之后就會打開下面的對話框，里面的url 就是是手動點擊頁面的 所包含的url連接




掃描完成后可以 生成各種類型的 掃描報告，這個還是不錯的，不然要自己去寫就太坑了。



掃描日志：在掃描過程中可以查看掃描的一些信息



掃描的頁面還有許多有用的功能，以及很有幫助的設置，可以去網上查找。

掃描的結果截屏：


之前 掃描個系統，測試的元素太多，服務器又時常會連不上，花了28個小時。所以合理配置掃描信息還是蠻重要的

總結

以上是生活随笔為你收集整理的AppScan--图解Web扫描工具IBM Security App Scan Standard的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。