欠伸展肢体,吟咏心自愉。这篇文章主要讲述APPScan安装与使用教程相关的知识,希望能为你提供帮助。
一、安装
1、右键安装文件,以管理员身份运行,如下图所示:
文章图片
2、点击【确定】
文章图片
3、点击【安装】
文章图片
4、选择:我接受许可协议中单位全部条款,点击【下一步】
文章图片
5、点击【安装】到该目录
文章图片
6、如果需求扫描Web services点击【是】安装该插件,如果不需要点击【否】如果只是扫描web就不需要安装
文章图片
7、点击【完成】
文章图片
8、安装完成之后把LicenseProvider.dll文件将它复制放到安装目录下覆盖原来的
文章图片
二、使用步骤
1、打开AppScan软件,点击工具栏上的 文件– > 新建,出现一个dialog
文章图片
2、点击“ Regular Scan” ,出现扫描配置向导页面,这里是选择“ AppScan(自动或手动)“ ,如图:
文章图片
3、输入扫描项目目标URL
文章图片
4、点击” 下一步“ ,选择认证模式,出现登录管理的页面,这是因为对于大部分网站,需要用户名和密码登录进去才可以查看许多内容,未登录的情况下就只可以访问部分页面。【用于登录测试项目站点的用户名及密码,例如:用户名:admni密码“ 12345】
文章图片
5、点击” 下一步“ ,出现测试策略的页面,可以根据不同的测试需求进行选择
6、点击” 下一步“ ,出现完成配置向导的界面,这里使用默认配置,可根据需求更改,如下图:
文章图片
7、点击” 完成“ ,设置保存路径,即开始扫描,如下图:
文章图片
扫描设置:
在测试策略中,有多种不同的分组模式,最经常使用的是“ 严重性” ,“ 类型” ,“ 侵入式” 、“ WASC威胁分类” 等标准,根据不同分组选择的扫描策略,最后组成一个共同的策略集合。
测试策略选择步骤如下:
1.选择缺省的扫描策略,切换到按照“ 类型” 分类,取消掉“ 基础结构” 和“ 应用程序” 两种类型。
说明:把扫描策略置空,没有选择任何的扫描策略。在分组类型中选择“ 类型” 分类,类型分类中只有两种类型:“ 基础结构” 和“ 应用程序” ,可以快速全部都取消掉。
文章图片
2.分组类型,切换到“ WASC威胁分类” ,选择“ SQL注入” 和“ 跨站点脚本编制” 。
文章图片
3.分组类型,切换到“ 类型” ,发现这时候“ 基础结构” 和“ 应用程序” 两种类型的扫描策略都是选择上的模式,而且是虚线,说明这两种类型下均有部分扫描策略被选择了,我们不关心“ 基础结构” 级别的安全问题,所以在这里取消“ 基础结构” 。
文章图片
4.分组类型,切换到“ 侵入式” ,发现这时候“ 侵入式” 和“ 非侵入式” 两种类型的扫描策略都是选择上的模式。“ 侵入式” 会有有比较强的副作用,可能对系统造成伤害,所以一般扫描生产系统的时候,很少选择。这里把“ 侵入式” 的用例取消掉。
文章图片
把选择好的测试策略,我们可以把它导出成一个模板,方便以后使用:
【APPScan安装与使用教程】
文章图片
推荐阅读
- 《基于Android的读书笔记api》
- Appium-appium日志分析
- call()和 apply()的作用和区别
- Android wifi无线调试App新玩法ADB WIFI
- 如何实现在H5里调起高德地图APP
- About App Sandbox
- android studio导入工程时遇到的问题
- Android util - 获取剪贴板内容
- Android 6.0 Marshmallow介绍