一、安裝
1、右鍵安裝文件,以管理員身份運行,如下圖所示:
2、點擊【確定】
3、點擊【安裝】
4、選擇:我接受許可協議中單位全部條款,點擊【下一步】
5、點擊【安裝】到該目錄
6、如果需求掃描Web services點擊【是】安裝該插件,如果不需要點擊【否】如果只是掃描web就不需要安裝
7、點擊【完成】
8、安裝完成之後把LicenseProvider.dll文件將它複製放到安裝目錄下覆蓋原來的
二、使用步驟
1、打開AppScan軟體,點擊工具欄上的 文件–>新建,出現一個dialog
2、點擊「Regular Scan」,出現掃描配置嚮導頁面,這裡是選擇「AppScan(自動或手動)「,如圖:
3、輸入掃描項目目標URL
4、點擊」下一步「,選擇認證模式,出現登錄管理的頁面,這是因為對於大部分網站,需要用戶名和密碼登錄進去才可以查看許多內容,未登錄的情況下就只可以訪問部分頁面。【用於登錄測試項目站點的用戶名及密碼,例如:用戶名:admni密碼「12345】
5、點擊」下一步「,出現測試策略的頁面,可以根據不同的測試需求進行選擇
6、點擊」下一步「,出現完成配置嚮導的界面,這裡使用默認配置,可根據需求更改,如下圖:
7、點擊」完成「,設置保存路徑,即開始掃描,如下圖:
掃描設置:
在測試策略中,有多種不同的分組模式,最經常使用的是「嚴重性」,「類型」,「侵入式」、「WASC威脅分類」等標準,根據不同分組選擇的掃描策略,最後組成一個共同的策略集合。
測試策略選擇步驟如下:
1.選擇預設的掃描策略,切換到按照「類型」分類,取消掉「基礎結構」和「應用程序」兩種類型。
說明:把掃描策略置空,沒有選擇任何的掃描策略。在分組類型中選擇「類型」分類,類型分類中只有兩種類型:「基礎結構」和「應用程序」,可以快速全部都取消掉。
2.分組類型,切換到「WASC威脅分類」,選擇「SQL注入」和「跨站點腳本編製」。
3.分組類型,切換到「類型」,發現這時候「基礎結構」和「應用程序」兩種類型的掃描策略都是選擇上的模式,而且是虛線,說明這兩種類型下均有部分掃描策略被選擇了,我們不關心「基礎結構」級別的安全問題,所以在這裡取消「基礎結構」。
4.分組類型,切換到「侵入式」,發現這時候「侵入式」和「非侵入式」兩種類型的掃描策略都是選擇上的模式。「侵入式」會有有比較強的副作用,可能對系統造成傷害,所以一般掃描生產系統的時候,很少選擇。這裡把「侵入式」的用例取消掉。
把選擇好的測試策略,我們可以把它導出成一個模板,方便以後使用:
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/284294.html
微信掃一掃 
支付寶掃一掃 