AppScan 扫描

1、AppScan 工具介绍

AppScan，全名：IBM Security AppScan Standard。其安装在 Windows 操作系统上，可以对网站等 Web 应用进行自动化的应用安全扫描和测试

AppScan 工作原理：

通过搜索（爬行）发现整个 Web 应用结构

根据分析，发送修改的 HTTP Request 进行攻击尝试（扫描规则库）

通过对于 Respone 的分析验证是否存在安全漏

AppScan 扫描原理：扫描规则库+爬行+测试

2、AppScan 工作原理

2.1 探索

探索：又叫爬行，爬网

2.2 测试

测试：针对找到的页面，生成测试，进行安全攻击

所以，简言之，AppScan 的核心是提供一个扫描规则库，然后利用自动化的“探索”技术得到众多的页面和页面参数，进而对这些页面和页面参数进行安全性测试。“扫描规则库”，“探索”，“测试”就构成了 AppScan 的核心三要素。而在安全扫描过程中，如何进行优化，就要结合这三个要素，看哪些部分需要优化，应该如何优化。

3、AppScan 安装

3.1 选择语言，点击确定

3.2 点击确定(我的会重启电脑)

3.3 选择接受，下一步

3.4 选择安装路径，点击安装

3.5 我选择：否

3.6 安装完成

3.7 打开应用程序，进行始初化

3.8 将LicenseProvider.dll在安装目录里面进行替换

4、AppScan 使用

4.1 打开appscan软件，点击“创建新的扫描…“-”常规扫描“

4.2 默认选择，下一步

4.3 输入URL 系统会自动检测连通性

4.4 输入系统帐号密码（如果需要扫描登录后的页面）

输入登录网站账号密码，如果不输入账号密码进入系统只能扫描到登录前的页面，扫描效果不大；因此尽可能输入账号密码（测试的账号密码也行）

4.5 点击：完全扫描配置

4.6 将侵入式修改为：非侵入式

4.7 下一步

4.8 完成