AppScan(漏洞扫描)

AppScan漏洞扫描是当快软件小编整理带来的一款web安全扫描工具，主要提供了动态分析（黑盒扫描）、静态分析（白盒扫描）和互动分析（玻璃盒扫描）三种不同的测试技术，以及40多种不同的法规遵从性报告模板，它能通过模拟网络用户点击链接和填写表单字段来探索网站，分析对其发送的每个请求的响应，查找潜在漏洞的任何指示，根据响应自动创建一个或多个测试，并记录确定哪些结果构成漏洞所需的验证规则，以及所涉及的安全风险级别。除此之外，软件在发送创建的特定于站点的测试之前向应用程序发送多个格式错误的请求，以确定它生成错误响应的方式，使用自定义验证规则记录和分析应用程序对每个测试的响应，以此帮助用户识别应用程序中的安全问题，识别从恶意或其他不需要的站点链接向用户提出的风险。

AppScan安装教程

1、在本站解压缩包获得AppScan原程序和对应破解补丁；

2、双击“AppScan_Setup_10.0.0.exe”开始安装；

3、正在准备安装请稍后；

4、勾选“我接受许可协议中的全部条款”，点击下一步；

5、点击“更改”可以自定义软件安装路径；

6、根据电脑配置，所需安装时间不同；

7、安装完成后先不要运行软件，回到压缩包输入解压密码解锁补丁文件夹；

8、根据“readme.txt”的提示将rcl_rational.dll移入软件安装目录下；

9、选择替换目标中文件；

10、然后双击桌面快捷方式运行软件，点击”帮助-许可证-切换到HCL许可证“；

11、选择”打开Appscan License Manager...“；

12、在”许可证配置-节点锁定许可证文件“中AppScanStandard.txt作为许可证；

13、即可完成激活授权。

软件特色

1、Flash支持
Appscan相对早期的版本增加了flash支持功能，它可以探索和测试基于Adobe的Flex框架的应用程序，也支持AMF协议。
2、Glass box testing
Glass box testing是Appscan中引入的一个新的功能.这个过程中，安装一个代理服务器,这有助于发现隐藏的URL和其它的问题。
3、Web服务扫描
Web服务扫描是Appscan中具有有效自动化支持的一个扫描功能。
4、Java脚本安全分析
Appscan中介绍了JavaScript安全性分析,分析抓取html页面漏洞，并允许用户专注于不同的客户端问题和DOM(文档对象模型)为基础的XSS问题。
5、报告
根据你的要求，可以生成所需格式的报告。
6、修复支持
对于确定的漏洞,程序提供了相关的漏洞描述和修复方案。
7、可定制的扫描策略
Appscan配备一套自定义的扫描策略,你可以定制适合你需要的扫描策略。
8、工具支持
它有像认证测试，令牌分析器和HTTP请求编辑器等,方便手动测试漏洞。

AppScan使用教程

1、打开AppScan后，点击左上角文件->新建或者Ctrl+N创建扫描；

2、选择扫描WEB应用程序；

3、在扫描配置向导中，URL和服务器中，输入起始URL，然后点击“下一步”；

4、登录管理，点击“下一步”，提示“该选项需要您记录新的登录序列，或装入之前记录的序列，仍要继续吗？”，点击“是”；

5、测试策略，点击“下一步”；

6、IBM security Appscan 的扫描策略旁边都会附带说明，一般情况下选择”完成”即可。
即：该策略包含所有 AppScan 测试，但端口侦听器测试除外。

7、最后完成扫描配置向导的选择默认即可。

功能介绍

.NET 服务器的 glass box 扫描
除了 Java 服务器之外，现在还可以在 .NET 服务器上安装 glass box 代理程序，从而将 glass box 扫描功能也引入 .NET 平台上运行的应用程序。
改进的会话管理
1、“配置”对话框的“登录管理”视图已更新，并且添加了一个新的选项卡，从而支持更高效的会话管理：
2、基于操作的登录（在浏览器中重现用户实际操作，而不仅是请求）现在将显示在用户界面中，而您可以观看浏览器中回放的序列
3、登录序列以两种形式进行记录：基于操作（用户“单击”）和基于请求，这两种形式都可通过已更新的“详细信息”选项卡进行管理（缺省情况下，将使用对于应用程序最高效的形式）
4、对所记录登录的问题的更简单故障诊断
5、新的“验证”功能在扫描期间实时回放登录序列，跟踪 cookie，检测最终响应中的会话中模式，并极大地改进会话中维护
“排除和例外”现在可应用于特定参数
您现在可从扫描中排除包含特定参数甚至特定参数值的 URL。这对于 megascript 应用程序（包含在 URL 中并且由其参数控制的应用程序）特别有用。