使用appscan测试手机app应用
用appscan测试手机应用和web端使用方法都差不多,只是要把需要测试的---和主机服务器连接在同一个局域网内,并用上代理。
1、打开appscan,选择“使用外部客户机扫描”
2、查看自己的ip和代理端口。如果用的是自己的电脑,则可以在cmd中ipconfig查看ipv4,便是自己主机的---,端口由appscan显示出来;
3、在手机或者其他---上,连接在同一个局域网,并使用代理,填上相同的ip和端口;
4、录制想要测试app的登录接口;
5、---下一步,选“全选”测试策略(全选好像是我自己定义的,上上一篇好像有提到,ibm appscan,关于appscan的一些配置),web项目的安全测试工具,然后就可以---测试了。
appscan 要素
appscan 是对网站等 web 应用进行安全攻击来检查网站是否存在安全漏洞;既然是攻击,需要有明确的攻击对象。对网站来说,一个网站存在的页面,可能成千上万。每个页面也都可能存在多个字段(参数),比如一个登录界面,至少要输入用户名和密码吧,这就是一个页面存在两个字段,你提交了用户名密码等登录信息,网站总要有地方接受并且检查是否正确吧,这就可能存在一个新的检查页面。这里的每个页面的每个参数都可能存在安全漏洞,所有都是对象,都需要来检查。
appscan总结测试结果形成报告
一)发送测试报告
以邮件的形式发送测试报告,测试报告主要包含两份附件:导出的安全测试报告和手写的测试报告。
这两份报告的区别:
从生成的scan测试文件直接导出来的报告,会显示所有的问题,高中低都会显示,且有些问题是无法复现的。
而自己手写的测试报告,包含了开发负责人,appscan,测试负责人,以及需要修复的漏洞,对比导出的报告,appscan总,做出了筛选,只列出了需要修复的漏洞,以及对应的接口地址,修复情况等等。
测试邮件则包含:
1、项目名称
2、网址
3、开发负责人
4、测试负责人
5、测试概述(即介绍安全测试的意义)
6、测试范围
7、测试工具
8、风险等级(包含的漏洞风险等级,以及问题总数)
9、风险类型(sql注入,跨站点请求等等)
10、测试日期
11、安全审计员
web项目的安全测试工具-华克斯(在线咨询)-appscan由苏州华克斯信息科技有限公司提供。“loadrunner,fortify,源代码审计,源代码扫描”选择苏州华克斯信息科技有限公司,公司位于:苏州工业园区新平街388号,多年来,华克斯坚持为客户提供好的服务,联系人:华克斯。欢迎广大新老客户来电,来函,亲临指导,洽谈业务。华克斯期待成为您的长期合作伙伴!
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713.zhaoshang100.com/zhaoshang/264738870.html
关键词: loadrunner - qtp - hp qc/alm - fortifysca - fireeye
滇公网安备 53011202000392号