HCL AppScan Standard简称appscan,是隶属于HCL品牌旗下,一款网络安全测试工具,支持windows操作系统,可以对网站应用进行自动化的安全扫描测试。
一、appscan的工作原理
appscan工作原理简单来说就是模拟攻击测试对象,从结果返回中得到相应分析报告并给出相应的修复建议。
appscan的工作过程大致可以分为以下几个阶段:
阶段一、爬行网站,也就访问网站的所有页面,从而确定网站的一个整体架构,这里的架构指
的是所有代码架构,包括前端面的页面代码和后台的页面代码。
阶段二、得到网站架构后,对网站发起访问请求,并使用appscan的规则库里的规则对测试对
象发起模拟攻击。这个测试并不需要用到服务器的权限,也就是所谓的“黑盒扫描”。
阶段三、对测试对象发起攻击后,服务器会给出相应的反馈(或者叫返回),得到返回数据
后,appscan会对攻击后的反馈数据与正常的访问的反馈数据进行对比,再根据自身的规则库
存进行对比,从而得分析是否存在安全漏洞。并从规则库中调出相应的修改建议。
二、appscan使用教程
在使用appscan时尽量先将软件更新到最新的版本,确保appscan规则库中的数据是最新。
下面给大家简单分享一下appscan的使用教程。
步骤一、双击打开appscan,选择测试对象的类型,这里以扫描web应用程序为例。
步骤二、输入扫描对象的起始网址或者IP地址。
步骤三、设置登录管理,有的网页需要输入相应的帐户密码才能进行访问,可以根据测试对象
及要求来选择登录方式。这里以登录序列为例。
步骤四、选择测试策略和优化,这里需要根据地需求选择相应的测试策略,appscan提供许
多的策略模板供选择,同时也可以使用自定义的模板。然后根据情况选择测试优化,不同的
工作内容可以选择不测试方案,这里的优化提可以在速度和问题覆盖范围来平衡测试的时间。
步骤五、设置启动方式。这里以开始完全扫描为例。
步骤六、等待扫描结束,点击工具栏的报告按钮,根据实际需求导出不同的分析报告。
附录:
AppScan官方帮助文档:
https://help.hcltechsw.com/appscan/Standard/10.2.0/zh_CN/c_AppScanOverview000.html