APPScan扫描操作教程

一、AppScan的工作原理
对一个综合性的大型网站来说，可能存在成千上万的页面。以登录界面为例，至少要输入用户名和密码，即该页面存在两个字段，当提交了用户名和密码等登录信息，网站需要检查是否正确，这就可能存在一个新的检查页面。这里的每个页面的每个参数都可能存在安全漏洞，可能成为被攻击对象。AppScan正是通过按照设定策略和规则，对Web应用进行安全攻击，以此来检查网站是否存在安全漏洞。
在使用AppScan的时候，通过配置网站的URL网址，AppScan会利用“探索”技术去发现这个网站存在多少个目录，多少个页面，页面中有哪些参数等，即探索出网站的整体结构。通过“探索”可确定测试的目标和范围，然后利用AppScan的扫描规则库，针对发现的每个页面的每个参数，进行安全检查。
简言之，APPScan的工作原理如下：
1）通过“探索”功能，利用HTTP Request和Response的内容，爬行出指定网站的整个Web应用结构
2）AppScan本身有一个内置的漏洞扫描的规则库，可随版本进行更新。从探索出的url中，修改参数or目录名等方式，构造不同的url对照组向服务器发送请求or攻击
3）根据HTTP Response返回的内容，和正常请求所返回的响应作对比，是否产生差异性，而这种差异性又是否符合扫描规则库的设定规则，以此来判断是否存在不同类型的安全漏洞
4）若APPScan可判断存在安全漏洞，则对这些漏洞的威胁风险给出说明，进行严重程度提示，并给出修复的建议和方法，以及漏洞发现的位置提示
二、APPScan扫描操作步骤：
1.打开AppScan
2.文件–>新建–>创建新的扫描，如：常规扫描

3.进入配置向导页面，选择Web应用程序扫描，点击“下一步”

4.进入扫描配置向导页面，URL输入框的地址即为被测网址or其IP地址，如输入以下被测url，点击“下一步”
PS：1）可以打开AppScan内置浏览器查看被测链接是否能正常访问；2）以下被测网址为某个专门测试用的漏洞网站，非常规使用的网站

5.登录方法：根据实际需要选择（如：自动），用户名和密码即为被测网站的登录账户，点击“下一步”

PS：1）若登录方法选择“记录”，则可通过界面右侧的“记录（R）”按钮打开APPScan内置浏览器并输入登录信息，关闭内置浏览器后，AppScan即可记录该用户名和密码，扫描的时候相当于是已登录此账户的状态进行扫描；2）若选择“提示”，则根据网站扫描探索过程中需要登录会提示输入登录信息，人工输入正确的账号信息之后继续扫描；3）若选择“无”，则不需输入登录账户

6.选择适当的操作策略（一般保持默认选择，即“缺省值”），点击“下一步”

7.设置启动模式，根据实际需要选择（如：仅使用自动“探索”启动），点击“完成”，即可开始启动扫描or测试
PS：1）全面自动扫描：探索的同时，也进行攻击测试；2）仅自动“探索”：自动探索网站的目录结构，可被测的链接范围及数目，不作实际攻击测试；3）手动探索：先通过AppScan内置浏览器打开被测网站，手动点击不同的目录页面，然后AppScan记录之；4）稍后启动扫描：先把此次网站的扫描配置进行保存，后续若想扫描的时候再继续操作。

8.保存配置：比如点击“是”，将此次配置命名保存到指定文件夹下

9.待步骤8保存配置之后，即会自动跳转到扫描网站的界面开始扫描，一般扫描时间根据测试范围和策略有关，这里可以看到扫描进度
PS：扫描过程中，若扫描时间较长，可自动让其扫描，或者点击“暂停”-保存本次扫描，然后下次继续未扫描的过程；若直接点击右上角“×”关闭AppScan，则不会保存本次扫描的过程

10.扫描完成之后，可查看扫描的结果如下所示

11.点击“扫描”-“仅测试”，开始启动对此次探索结果的攻击测试
根据扫描测试过程中的APPScan工作情况，是否有扫描出安全漏洞，是否在扫描过程中进度受阻而不能继续扫描，是否覆盖到设定的url范围，对同一模块可重复扫描做对比，调整获得适合自己环境的配置


12.测试完成之后，保存本次AppScan扫描测试的结果；从统计出的安全性问题，可以查看对应的漏洞链接、请求和响应、修复建议

13.点击“报告”，创建不同要求的安全报告