IBM Security AppScan Standard 用外部设备录制脚本(手机端应用app微信等)进行安全测试

满堂花醉三千客,一剑霜寒十四洲。这篇文章主要讲述IBM Security AppScan Standard 用外部设备录制脚本(手机端应用app微信等)进行安全测试相关的知识,希望能为你提供帮助。
一、打开AppScan,选择外部设备/客户机,点击下一步

IBM Security AppScan Standard 用外部设备录制脚本(手机端应用app微信等)进行安全测试

文章图片

二、记录代理设置,可以手动输入需要的端口号,也可以自动选择,记住端口号以及PC电脑的ip地址,手机端如何设置对应的端口跟ip可以参考
Jmeter(十三)用Jmeter自带录制工具代理录制手机端应用脚本APP脚本,原理是一样的
IBM Security AppScan Standard 用外部设备录制脚本(手机端应用app微信等)进行安全测试

文章图片

三、SSL证书,点击下一步
IBM Security AppScan Standard 用外部设备录制脚本(手机端应用app微信等)进行安全测试

文章图片

四、登陆管理,点击下一步,
IBM Security AppScan Standard 用外部设备录制脚本(手机端应用app微信等)进行安全测试

文章图片

选择“是”
IBM Security AppScan Standard 用外部设备录制脚本(手机端应用app微信等)进行安全测试

文章图片

五、选择测试策略,点击下一步
IBM Security AppScan Standard 用外部设备录制脚本(手机端应用app微信等)进行安全测试

文章图片

 
  六、完成扫描配置向导
【IBM Security AppScan Standard 用外部设备录制脚本(手机端应用app微信等)进行安全测试】  点击完成之后,会弹出录制窗口
IBM Security AppScan Standard 用外部设备录制脚本(手机端应用app微信等)进行安全测试

文章图片

七、外部流量记录器
这个时候,可以操作外部机器对需要扫描的功能模块进行录制,
检测到的域:记录外部机器操作时所产生的域名及URL,可以进行筛选,如果出现多余的其他域,也可进行删除
发送的请求:记录外部机器操作时对应的功能模块的http请求,js等
脚本录制成功之后,点击停止记录,脚本即完成了。
IBM Security AppScan Standard 用外部设备录制脚本(手机端应用app微信等)进行安全测试

文章图片

 
通过将 AppScan 用作记录代理来进行手动探索时,该记录器将显示检测到的域和接收到的流量,并使您能够控制将对这些项中的哪些进行测试。该记录器的受限版本用于对登录序列进行记录。
当您单击手动探索 > 使用外部设备时,“外部流量记录器”将打开。
项目
描述
代理连接状态
显示是否正在记录入局连接,以及其他状态消息。
侦听端口
显示已分配给此记录器的当前端口。
要更改该端口,或任何其他记录代理配置,均请单击记录代理配置(有关详细信息,请参阅“记录代理”选项卡)。
已记录流量
 
检测到的域(左窗格)
在已记录流量中检测到的所有域的列表。
选择应包含在扫描中的域。 关闭此记录器时,所有已选域都会添加到“其他服务器和域”列表(配置 > URL 和服务器 > 其他服务器和域)并将包含在扫描中。
已发送的请求(右窗格)
显示“手动探索”期间已记录的所有请求。来自左窗格中已选域的请求将以黑色显示;其他请求将以灰色显示。
  • 查看来自所选域的请求,请单击隐藏来自已过滤域的请求复选框
  • 要从列表中删除与扫描不相关的单独请求,请选择相应请求,然后单击 “一”减号图标
导出
单击可导出记录以在另一台机器上使用。仅在记录已停止后,该按钮才会被激活。
应用“探索”阶段冗余调整
(缺省情况下已选中)选中后,“探索”阶段冗余调整(配置 > “参数和 Cookie”选项卡 > 冗余调整缺省值 > 探索)将在您关闭对话框时应用于当前记录,以帮助避免重复的请求。
请仅在选中该复选框会导致“手动探索”中的 cookie 缺失的情况下清空该复选框。
停止记录
停止记录,同时保留对话框处于打开状态,以查看和编辑列表。 注: 一旦您停止记录,便无法在不丢弃当前数据的情况下重新启动记录。
确定
关闭对话框,并将所有当前已选域添加到扫描中包含的其他服务器和域的列表(配置 > URL 和服务器 > 其他服务器和域)。
 
八、录制好需要的场景或者对应的脚本之后,点击完成,后续就可以进行对应的扫描工作了
IBM Security AppScan Standard 用外部设备录制脚本(手机端应用app微信等)进行安全测试

文章图片

 

    推荐阅读