黑客工具之AppScan详细使用教程

一、AppScan简介

AppScan是IBM的一款web安全扫描工具，可以利用爬虫技术进行网站安全渗透测试，根据网站入口自动对网页链接进行安全扫描，扫描之后会提供扫描报告和修复建议等。

AppScan有自己的用例库，版本越新用例库越全（用例库越全面，对漏洞的检测较全面，被测试系统的安全性则越高）

工具文章合集：

黑客老鸟-九青：一文教你学会黑客必备安全工具，轻松入门351 赞同 · 17 评论文章

工作原理：

1. 通过探索了解整个web页面结果
2. 通过分析，使用扫描规则库对修改的HTTP Request进行攻击尝试
3. 分析 Response 来验证是否存在安全漏洞

二、Appscan使用教程

1.启动软件进入主界面—>选择创建新的扫描：

2.在弹出的新建扫描对话框中选择常规扫描：

3.在弹出的扫描配置向导对话框中选择Web应用程序扫描进入下一步：

4.在此页面中填写需要扫描系统的网址，进入下一步：

5.选择登陆方式为记录，进入下一步：

6.选择一种测试策略（本例以完成为例）：

几种测试策略说明：

1. 缺省值：包含多有测试，但不包含侵入式和端口侦听器
2. 仅应用程序：包含所有应用程序级别的测试，但不包含侵入式和端口侦听器
3. 仅基础结构：包含所有基础结构级别的测试，但不包含侵入式和端口侦听器
4. 侵入式：包含所有侵入式测试（可能影响服务器稳定性的测试）
5. 完成：包含所有的AppScan测试
6. 关键的少数：包含一些成功可能性较高的测试精选，在时间有限时对站点评估可能有用
7. 开发者精要：包含一些成功可能性极高的应用程序测试的精选，在时间有限时对站点评估可能有用

7.启动全面自动扫描：

8.在自动保存对话框中选择是：

9.将扫描文件保存在本机目录下：

10.进行第一遍的探索：

11.探索完成获得探索到的结果：

12.在扫描配置对话框中选择测试系统需要的配置，点击应用

13.进行继续完全扫描

14.等待扫描完成（时间可能会有点长）