AppScan使用分享

其实，对于安全方面的测试知道的甚少。因为那公司每个月要求对产品进行安全扫描。掌握了一人点使用技巧，所以拿来与大家分享。

因为产品比较大，功能模块也非常之多，我们不可能对整个产品进行扫描。再一个每个测试员负责测试的模块不同。我们只需要对自己负责测试的模块扫描即可。

扫描工具自然是IBM AppScan ，功能强大，使用简单。略懂安全测试的都使用或听说过这个工具。这里就不过多介绍了。

首先要抽取扫描的链接。fiddler工具来抽取。打开系统，找到你需要做扫描的功能模块，开启fiddler拦截功能，然后对你所要测试的功能做各种操作，fiddler就会记录的所有访问的链接，因为涉及到隐私，所以下图会比较模糊。

其实，请求中有非常多的链接，但许多是一样，我们只要把不一样的全找出来就可以了。这里你需要知道每个连接的情况。也有一些外部链接是不需要抽取的。

下面打开appscan创建扫描。（关于appascan的下载安装与破解、介绍，我在另一篇博文已讲）

上面这一步是重点，起始URL填写你要扫描的网址。其它服务器和域：这里把抽取的所有链接都添加进去。包括后网站的首页链接。点击下一步。

点击工具栏上的探索按钮，appscan会打开自带浏览器，输入系统用户名密码登录系统，对你要扫描的模块功能进行操作。

上图为我打开的appscan自带浏览器（因为我输入的网址有误，所以无法访问）。操作完成之后，点击暂停按钮，关闭浏览器窗口即可。

关闭浏览器后，上面的窗口中会记录所有你访问的连接，点击确定。所有的信息就会记录下来了，下面要做的点击点击工具栏上的扫描按钮开始扫描。我们一般晚上下班进行，第二天早上来看扫描结果就可以了。

本来到这里就可以结束了，我再多说个设置。呵呵！在手动探索的时候，因为打开的浏览器是appscan自带的，可能会存在兼容性问题，有些页面无法正常打开。那么是否可以用我们电脑上的浏览器（IE 、火狐、谷歌）来进行录制呢了。当然是可以的。

这个一定要大图，我们只需要修改openExternalBrowser 选项“值”的参数就可以了（1=IE、2=firefox、3=chrome）。

原创文章，作者：ItWorker，如若转载，请注明出处：https://blog.ytso.com/57366.html