AppScan安装配置及扫描

原理

AppScan 全面扫描包括两个步骤，“探索”和“测试”：
“探索”阶段：在此阶段中，会探索站点并构造应用程序树，AppScan 会分析它所发送的每个请求的响应，查找潜在漏洞的任何提示信息。AppScan 接收到可能指示有安全漏洞的响应时，它将自动创建测试，并记录验证规则。

“测试”阶段：本阶段中，AppScan 会发送其在“探索”阶段创建的上千条定制测试请求。它会记录和分析应用程序的响应，以识别安全问题并将其按安全风险的级别进行排名。

“扫描”阶段：实践中，“测试”阶段会频繁显示站点内的新链接和更多潜在的安全风险。因此，完成“探索”和“测试”的第一个“阶段”后，AppScan 将自动开始一个新 的阶段，以处理新的信息

部署环境

专业版本与企业版本
Win7+Microsoft .NET Framework 4.5 +AppScan 安 装 （http://www.ibm.com/developerworks/cn/downloads/r/appscan/）
安装步骤
点击应用程序
安装框架和环境（）
关闭调用互联网上接口的提示
把补丁中文件拖出，dll文件替换掉安装目录下的文件
打开ASL ,右上角在许可证中管理导入AppScanstandard.txt作为许可证

使用

	新建扫描部署配置
URL和服务器
添加站点连接成功
若选中仅扫描此目录中或目录下的连接，则不扫描第三方
登录管理
（需要登录名密码时自动调用已经存好的）
记录
自动
提示
无
有很多工具搞不定验证码等需要登录的操作
测试策略
缺省策略就可以
测试优化
正常
完成
有时候部署之后需要等待时间可以选稍后扫描

注意！！！！

	工作量大时，可能崩溃
采用保存方式，自动保存扫描结果，可以下次导入使用
缺点
文件能耗大
国内漏洞支撑力度不过强大
扫描速度比较慢
优点
漏洞验证比较人性化
多线程运行
对于通用型漏洞检测能力好
许可证
AppScan 安装中包含一个缺省许可证，此许可证允许扫描 IBM 定制设计的测试站点（demo.testfire.net），但不允许扫描其他站点，为了扫描自己的站点，您必须安装
IBM 提供的有效许可证。有三种类型的许可证：
浮动许可证
令牌许可证
节点锁定许可证
安装过程要关闭任何已打开的 Microsoft Office 应用程序
扫描报告可以根据需求设置

APPSCAN安装中出现的问题

不知道为什么我的应用程序不能自动安装所需要的两个环境
一个是.net框架 一个是VC++2017 ,所以我都进行了手动安装，
在.net框架安装中，还需要一个自己手动添加证书
具体方法我是参考博客园的文章
如下：
在“运行“中输入 MMC 打开控制台，打开后 按crtl+M组合键打开添加删除管理单元，在左侧列表中打开 “证书” 项，让后选择“计算机账户” 下一步，“本地计算机” 点 “完成”， 然后控制台上出现 “证书”项，在其树状目录找到 “信任的根证书…”右击 ，“导入” 选择你的证书。
这里需要的证书我都放在一个文件下了，一会儿上传。

2020.4.23补充
导入AppScanstandard.txt的时候，提示“文件名包含无效字符，请更改文件名以仅包含英语字母和数字” 或者出现“文件已经损坏”，再接着尝试几次就可以了，许可证没有问题，是软件验证缺陷问题

最后

以上就是落寞菠萝为你收集整理的渗透测试工具之——AppScan安装配置及扫描AppScan安装配置及扫描的全部内容，希望文章能够帮你解决渗透测试工具之——AppScan安装配置及扫描AppScan安装配置及扫描所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。