首先打開IBM Security AppScan Standard 工具
點擊 創建新的掃描 -> 點擊”常規掃描“ ->之後你就會看到如下圖:
這裏你可以直接點擊 ”下一步“ 或是點擊 ”完整掃描配置“,先點擊 ”完整掃描配置“URL 和服務器
1.在起始URL中輸入你要掃描的網站網址
2.你的系統中可能還包括其他的域名可以在這裏添加,注意格式要求(不能直接輸入整個網址,可以使用fiddler4檢測工具 獲得系統所訪問的地址)點擊 登錄管理:如果的你係統剛開始要登錄的話這裏要進行設置,如果不需要登錄直接選擇 選中” 無“ 即可。
需要登錄的話 鼠標移到 ”登錄“按鈕後點擊上圖的 ”使用AppScan 瀏覽器“ 就會根據你的URL 打開登錄頁面,要你輸入賬號和密碼 ,當登錄成功後點擊 ”我已登錄到站點“ 按鈕,這樣就會記錄你的登錄序列
記錄成功後,點擊 標籤 ”詳細信息“ 可以查看到驗證的成果
環境定義 可以不進行更改 直接默認就好
排除路徑和文件有需要的排除的路徑和文件 可以在這裏添加。(我之前掃描這個系統,有個路徑執行saveOrUpdate操作,每次執行到這類路徑,掃描就掃不動了,而且總是會session重複登錄,之後在這邊把它排除掉,掃描速度就提了好多。所以對於那些無關緊要的網址可以在這邊排除掉)
探索選項 要適當進行修改
Glass Box
連接-通信 和代理
其他的一般情況 就不需要進行設置了,默認就好了。 設置完後你可以導出爲模板,以便下次使用。確定按鈕 後 又返回到下圖:
因爲你之前以及設置過了,所以一直點 ”下一步“,
點擊
完成 後 如果勾選了 掃描專家 ,會先啓動 掃描專家 進行掃描優化直接進入掃描了。
如上圖: AppScan 的掃描 分三類:完全掃描 、僅探索、僅測試
如果系統需要掃描的頁面或是元素較少 可以直接選中 完全掃描(其實就是探索和測試一條龍服務),
如果頁面需要掃描的頁面和元素比較多時,可以分開來,先探索,探索完成後再進行測試。
探索也就是 掃描出整個系統的基本結構和頁面。
測試 就是根據你所配置的信息 如測試策略、深度等等 對頁面中的元素進行測試 從而得出安全性問題。
如果只是對系統中某個模板進行 掃描的話,可以 通過 ”手動探索“ 獲取需要掃描的指定頁面 。
在頁面中 點擊到你需要測試的模塊頁面,後單擊 ”暫停記錄“ 按鈕 後關閉頁面。
之後就會打開下面的對話框,裏面的url 就是是手動點擊頁面的 所包含的url連接。
掃描完成後可以 生成各種類型的 掃描報告,這個還是不錯的,不然要自己去寫就太坑了。
掃描的頁面還有許多有用的功能,以及很有幫助的設置,可以去網上查找。
掃描的結果截屏:
