Appscan安装以及使用方法 – 作者:minggege

一、安装

1、在本站提供的百度网盘地址中下载这两个文件，AppScan_Std_9.0.3.6_Eval_Win.exe是安装主程序，LicenseProvider.dll为替换文件，双击AppScan_Std_9.0.3.6_Eval_Win.exe进行安装。

2、选择中文(简体)语言，确定。

3、由于小编系统中没有.NET Framework 4.6.2 Web组件，这里提示需要安装，同样没有该组件的童鞋们可以看一下，如果没有提示这一项的话，可以直接看第6步。

点击安装。

4、选择我已阅读并接受许可条款，并点击安装。

正在安装.NET，等待即可

5、.NET 4.6.2安装完毕，点击完成。

6、现在正在解压AppScan 9.0.3.6，不用管它。

7、在安装界面中，选择我接受许可协议中的全部条款，并点击下一步进行安装。

8、AppScan默认安装在C:\Program Files (x86)\IBM\AppScan Standard\，我们可以选择更改安装到其它盘中，小编建议D盘，尽量不要所有的程序都安装C盘，会影响系统速度。

9、这里我选择默认，大家根据自己的习惯即可，选择好后，点击确定。

10、安装。

11、安装程序功能，需要等待几分钟，静待即可。

12、点击完成结束安装程序。

二、替换

1、找到桌面上的AppScan图标，先不要打开。

2、点击鼠标右键，选择属性。

3、在弹出的窗口中，点击打开文件位置的选项，这样可以让你快速定位到文件的安装目录。

4、将下载下来的LicenseProvider.dll文件，复制到弹出来的安装目录下。

5、选择替换功能，将之前的LicenseProvider.dll文件替换掉。

6、安装完成，现在大家就可以使用AppScan 9.0.3.6的全部功能了。注意：替换后运行软件还显示演示许可证，但是扫描目标已不受限制

软件功能

AppScan Standard 采用三种彼此互补和增强的不同测试方法：

动态分析（“黑盒扫描”）

这是主要方法，用于测试和评估运行时的应用程序响应。

静态分析（“白盒扫描”）

这是用于在完整 Web 页面上下文中分析 JavaScript 代码的独特技术。

交互分析（“glass box 扫描”）

动态测试引擎可与驻留在 Web 服务器本身上的专用 glass-box 代理程序交互，从而使 AppScan 能够比仅通过传统动态测试时识别更多问题并具有更高准确性。

AppScan 的高级功能包括：

常规和法规一致性报告，并提供超过 40 个不同的开箱即用模板

通过 AppScan eXtension Framework 或通过使用 AppScan SDK 直接集成到现有系统内来实现的定制和可扩展性

链接分类功能，超越应用程序安全性以确认由指向恶意或其他不需要的站点的链接向用户带来的风险

AppScan Standard 可帮助您在站点部署之前并且为生产阶段的进行中风险评估来降低 Web 应用程序攻击和数据违规的风险。

软件特色

“AppScan® 全面扫描”包含两个阶段：探索和测试。 尽管扫描过程的绝大部分对于用户来说实际上是无缝的，并且直到扫描完成几乎不需要用户输入，但理解其后的原则仍然很有帮助。

探索阶段

在第一个阶段中，AppScan 通过模拟 Web 用户单击链接和填写表单字段来探索站点（Web 应用程序或 Web 服务）。这就是“探索”阶段。

AppScan 将分析它所发送的每个请求的响应，查找潜在漏洞的任何指示信息。 AppScan 接收到可能指示有安全漏洞的响应时，它将自动基于响应创建测试，并通知所需验证规则，同时考虑在确定哪些结果构成漏洞以及所涉及到安全风险的级别时所需的验证规则。

在发送所创建的特定于站点的测试之前，AppScan 将向应用程序发送若干格式不正确的请求，以确定其生成错误响应的方式。 之后，此信息将用于增加 AppScan 的自动测试验证过程的精确性。

测试阶段

在第二个阶段，AppScan 将发送它在探索阶段创建的数千个定制测试请求。 它使用定制验证规则记录和分析应用程序对每个测试的响应。 这些规则既可识别应用程序内的安全问题，又可排列其安全风险级别。

无 Web 服务的站点

如果是没有 Web 服务的站点，那么为 AppScan® 提供起始 URL 和登录认证凭证可能足以使其能够测试站点。

如有必要，还可以通过 AppScan 手动搜寻站点，以便能够访问仅通过特定用户输入才能到达的区域。

Web 服务

为了能够有效扫描 Web Service，AppScan 安装包含一项工具，用户通过它可查看 Web 服务中整合的各种方法，处理输入数据以及检查来自服务的反馈。

您首先需要为 AppScan 提供服务的 URL。 集成的“通用服务客户机 (GSC)”使用服务的 WSDL 文件以树格式显示可用的单独方法，并且会创建用于向服务发送请求的用户友好 GUI。您可以使用此界面输入参数和查看结果。此过程由 AppScan 进行“记录”，并且用于在 AppScan 扫描站点时创建针对服务的测试。

免责声明：本人坚决反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解它们背后的原理，更好地进行防护。禁止任何人转载到其他站点，禁止用于任何非法用途。如有任何人凭此做何非法事情，均于笔者无关，特此声明。

来源：freebuf.com 2020-10-10 11:36:00 by: minggege