web安全扫描工具---Appscan使用

Appscan是web应用程序渗透测试舞台上使用最广泛的工具之一.它是一个桌面应用程序,它有助于专业安全人员进行Web应用程序自动化脆弱性评估。

一.下载appscan

二、安装.net环境

三、重启电脑后安装appscan，如果是破解版的话一般会连安装步骤也有，按着来就行。

四、使用appscan扫描网站

1.打开appscan，自动启动配置页

2.选择创建新的扫描-常规扫描

3.选择appscan（手动或自动），下一步

4.起始URL填写你要扫描的网址。其它服务器和域：要扫描的全部网页。如起始URL使用ibm提供的：http://demo.testfire.net,点击浏览器，如果能正常打开则可以进行测试。

5.选择第一项记录，使用appscan浏览器输入登录用户名和密码，这里使用网上随便找的一个测试帐号：jsmith  Demo1234

6.登录成功后关闭浏览器，点击下一步

7.选择合适的测试策略，这里也可以选择默认，也可以自定义选择。下一步。

8.选择手动探索启动，取消扫描专家，也就是取消评估当前网站的配置。

9.点击菜单栏上的手动探索按钮，会打开appscan浏览器，在浏览器对要扫描的模块进行操作，操作完成后，点击暂停按钮，关闭浏览器即可。手动探索会将记录的url记住，添加所有，确定即可。

，

10.执行扫描：点击扫描按钮，一般晚上开启，第二天早上看结果就行。然后生成报告给相关人员。