六、AppScan使用特别注意事项

一、简介

AppScan是IBM的一款web安全扫描工具，具有利用爬虫技术进行网站安全渗透测试的能力，能够根据网站入口自动摸取网页链接进行安全扫描，提供了扫描、报告和修复建议等功能。

appscan有自己的用例库，版本越新用例库月全，针对漏洞的检测越全面，被检测系统的安全性相关较高，目前网上流传的最新版本是9，appscan为IBM一款商业用途的安全扫描工具网站安全扫描，但是网络存在破解版。

二、下载

1.appscan10中文破解版-网盘地址：提取码: 36az

2.官方文档(强烈建议先看下官方文档)：

三、安装

四、破解

1、复制 AppScanStdCrk 文件夹内的 rcl_rational.dll 文件到 AppScan安装目录，替换 rcl_rational.dll 文件

2、打开 AppScan软件-帮助-切换到IMB许可证-打开 AppScan License Manager…-添加 AppScanStandard.txt 文件到许可证配置

AppScanStandard.txt复制到C:\Program Files (x86)\HCL\AppScan Standard

完成

五、使用

提供的测试网站

demo.testfire.net(asp网站)——用户名：jsmith 密码： Demo1234

（php网站）

1.打开AppScan

2.新建–>扫描web应用程序

3.进入扫描配置向导页面，URL输入框的地址即为被测网址or其IP地址，如输入以下被测url，点击”下一步”

PS：

a、可以打开AppScan内置浏览器查看被测链接是否能正常访问；

b、以下被测网址为某个专门测试用的漏洞网站，非常规使用的网站

4.登录方法：根据实际需要选择（如：自动），用户名和密码即为被测网站的登录账户，点击”下一步”(如果有验证码则不适合这种方式)

提示：

a、若登录方法选择”记录”，则可通过界面右侧的”记录（R）”按钮打开APPScan内置浏览器并输入登录信息，关闭内置浏览器后，AppScan即可记录该用户名和密码，扫描的时候相当于是已登录此账户的状态进行扫描；

b、若选择”提示”，则根据网站扫描探索过程中需要登录会提示输入登录信息，人工输入正确的账号信息之后继续扫描；

c、若选择”无”，则不需输入登录账户（渗透一般不允许登陆）

5.选择适当的操作策略（一般保持默认选择，即”缺省值”），点击”下一步”

6.设置启动模式，根据实际需要选择（如：仅使用自动”探索”启动），点击”完成”，即可开始启动扫描or测试

注意：

a、全面自动扫描：探索的同时，也进行攻击测试；

b、仅自动”探索”：自动探索网站的目录结构，可被测的链接范围及数目，不作实际攻击测试；

c、手动探索：先通过AppScan内置浏览器打开被测网站，手动点击不同的目录页面，然后AppScan记录之；

d、稍后启动扫描：先把此次网站的扫描配置进行保存，后续若想扫描的时候再继续操作。

7.保存配置：比如点击”是”，将此次配置命名保存到指定文件夹下

8.待步骤7保存配置之后，即会自动跳转到扫描网站的界面开始扫描，一般扫描时间根据测试范围和策略有关，这里可以看到扫描进度

提示：

扫描过程中，若扫描时间较长，可自动让其扫描，或者点击”暂停”-保存本次扫描，然后下次继续未扫描的过程；若直接点击右上角”×”关闭AppScan，则不会保存本次扫描的过程

9.扫描完成之后，可查看扫描的结果如下所示

10.点击”扫描”-“仅测试”，开始启动对此次探索结果的攻击测试

根据扫描测试过程中的APPScan工作情况，是否有扫描出安全漏洞，是否在扫描过程中进度受阻而不能继续扫描，是否覆盖到设定的url范围，对同一模块可重复扫描做对比，调整获得适合自己环境的配置

11.测试完成之后，保存本次AppScan扫描测试的结果；从统计出的安全性问题，可以查看对应的漏洞链接、请求和响应、修复建议

12.点击”报告”，创建不同要求的安全报告

六、AppScan使用特别注意事项

【1】AppScan扫描过程中，会向服务器发送较多请求，会占用一定的正常请求访问的资源，可能导致一些垃圾数据，建议只在本地测试环境执行

【2】使用AppScan之前，请提前备份好数据库的数据，假若扫描致使服务器异常关闭，则需重启服务；若扫描产生的请求数据过多，或Web程序出现异常，可能需要从备份数据恢复还原。一般情况下，正常扫描Web程序很少可能出现Web服务异常的情形

【3】AppScan扫描配置时，有区分为Web Application（Web应用程序）和Web Service（Web服务）的扫描方向。若只对Web程序本身的漏洞检测，就选Web Application扫描即可；若选择Web Service扫描，则需提前告知服务器维护的负责人，建立异常情况发生的处理机制，最好避开访问请求的高峰or办公人员集中使用的时间，比如下班后自动扫描

【4】AppScan扫描的结果并不代表完全真实的情况，受限于所用扫描器版本的漏洞规则库的规则，以及操作者的配置策略，扫描过程中有可能会使得扫描器出现误判or漏测。如有必要，还需对扫描的结果进行人工校验，可对同一Web应用分次进行扫描对比差异性

【5】扫描配置时，一般按照默认的测试策略-WASC威胁分类即可；若服务器本身所能承受的性能压力不强，or存在较多漏洞的时候，不宜选择”侵入式”策略，该策略存在着可能会入侵服务器、关闭服务、破坏数据库等风险

【6】使用破解版的AppScan扫描Web应用时，若Web网站本身结构比较复杂、模块众多、涉及的url数目巨大（几万-十多万），则不宜一次性全站扫描，有可能连续扫描几个小时都不能探索完网站的所有结构。持续时间过长还可能造成AppScan出现卡顿，显示”正在扫描中”，但实际上已经没有继续再扫描。因此，当第一次探索了大概的网站结构和容量之后，若容量巨大，最好分而治之，按模块结构分次进行扫描测试

【7】结果分析（Analysis）

在APPScan扫描结果基础上，根据不同的严重级别进行排序、手工+工具验证的方式对漏洞验证可靠性，排除误报的情况，并尽可能找出漏报的情况，把本次扫描结果汇总，对以上已验证存在的安全漏洞排列优先级、漏洞威胁程度，并提出每个漏洞的修复建议

然后，再把此次安全漏洞整理的报告提交给项目负责人，由负责人决定哪些漏洞转给开发工程师修复，而后再由安全测试工程师进行回归验证修复的状况

[En]

Then, the report on the arrangement of the security vulnerabilities will be submitted to the project leader, who will decide which vulnerabilities will be transferred to the development engineer for repair, and then the security test engineer will regression to verify the status of the repair.

Original:

Author: L杂货店

Title: AppScan 10安装使用

（编辑：辽源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!