appscan扫描分析结果-华克斯-appscan

appscan使用---注意事项

1appscan扫描过程中，会向服务器发送较多请求，会占用一定的正常请求访问的资源，可能导致一些垃圾数据，appscan价格，建议只在本地测试环境执行

2使用appscan之前，请提前备份好数据库的数据，假若扫描致使服务器异常关闭，则需重启服务；若扫描产生的请求数据过多，或web程序出现异常，可能需要从备份数据恢复还原。一般情况下，正常扫描web程序很少可能出现web服务异常的情形

3appscan扫描配置时，有区分为web application（web应用程序）和web service（web服务）的扫描方向。若只对web程序本身的漏洞检测，就选web application扫描即可；若选择web service扫描，则需提前告知服务器维护的负责人，建立异常情况发生的处理机制，蕞好避开访问请求的高峰or办公人员集中使用的时间，比如下班后自动扫描

appscan安全测试的详细方法

一）测试工具

appscan，即 appscan standard edition。其安装在 windows 操作系统上，可以对网站等 web 应用进行自动化的应用安全扫描和测试。

简单理解，就是appscan工具先抓取出所有的接口，接着利用自身的安全用例库，对接口传各种参数，验证接口是否有安全漏洞。

二）测试步骤

基本思路：自动探索--特殊配置--手动探索---仅测试--导出报告。

以测试一个web应用为例，介绍一次完整的安全测试流程。

1、打开appscan，文件--新建--扫描web应用程序

2、填写起始url地址

这里有个坑：填写登录页面的地址，是未登录之前，因为有的页面没有做重定向处理，后续测试的时候会一直提示登录。

3、填写登录管理信息

登录系统的方式，有三个选项：

1）记录：---“记录”按钮，进行录制登录操作。操作类似于用lr做---录制，适用于没有---的场景。

2）自动：输入用户名和密码，扫描时会自动根据这个凭证登录应用程序，没有---时，使用该场景。

3）提示：根据扫描地址，每次需要登录时会弹出相应登录页面，如遇后台登录有---时使用此场景。

记录和自动的差别不大，appscan怎么使用，都是适用于没有---的场景，appscan，而且都只需要输入一次用户名和密码，不同之处在于 「记录 」是在浏览器登录页面输入密码，「自动 」是直接在appscan的页面输入密码。