漏扫工具Appscan-安装及使用

1、简介

（1）AppScan是IBM的一款商业化的web安全扫描工具，可以利用爬虫技术进行网站安全渗透测试，根据网站入口自动对网页链接进行安全扫描，扫描之后会提供扫描报告和修复建议等。

2、工作原理

（1）通过探索了解整个web页面结果

（2）通过分析，使用扫描规则库对修改的HTTP Request进行攻击尝试

（3）分析 Response 来验证是否存在安全漏洞

3、安装激活教程

下载地址：

链接：https://pan.baidu.com/s/1a1dYMmk3WfzkVL-nKHUjog?pwd=mm8b?
提取码：mm8b

1、下载解压后Appscan_Setup_10071.exe和crack等文件，双击Appscan_Setup_10071.exe开始安装软件，如图

2、勾选协议，点击下一步

3、点击更改按钮选择更换软件安装目录（可以安装到D盘或者E盘），默认目录：C:\Program Files (x86)\HCL\AppScan Standard\，如下图所示

4、等待安装完成，注意这个过程需要一点时间，请大家耐心等待，安装完成后如下图所示。

5、在安装激活补丁前，首先要打开软件的安装目录，如果忘记软件的安装目录，请返回到桌面，找到软件的桌面快捷图标，并右键点击图标，出现弹窗后选择“打开文件位置”即可获得文件安装目录。如下图所示。

6、然后打开nGen_Crack文件夹，将里面的.dll文件复制到软件安装目录中去替换

7、运行软件，点击帮助-关于，即可看到软件已经用就激活，（注意：软件安装完成后，如果不是中文界面，大家可以安装下面的方法更换软件操作语言；）如图

8、中文设置教程

点击close，最后重启软件即可。（注意：如果大家重启软件后，还是没有更换到中文界面，可以在操作一次中文设置步骤，然后重启软件即可。脚本之家小编久设置了3遍才完成中文界面设置！）

4、具体使用规则

1、点击web基本

2、填入url后勾选“仅扫描此目录中或目录下的链接”。点击下一步

3、选择记录-AppScan Chromium浏览器后，点击下一步

4、打开URL后输入用户名、密码后点击【我已登录到站点】（我这里步骤3中选择的是第一个Recorded，大家可以根据自己实际情况选择）

5、选择一种测试策略（本例以完成为例）：

几种测试策略说明：

1. 缺省值：包含多有测试，但不包含侵入式和端口侦听器
2. 仅应用程序：包含所有应用程序级别的测试，但不包含侵入式和端口侦听器
3. 仅基础结构：包含所有基础结构级别的测试，但不包含侵入式和端口侦听器
4. 侵入式：包含所有侵入式测试（可能影响服务器稳定性的测试）
5. 完成：包含所有的AppScan测试
6. 关键的少数：包含一些成功可能性较高的测试精选，在时间有限时对站点评估可能有用
7. 开发者精要：包含一些成功可能性极高的应用程序测试的精选，在时间有限时对站点评估可能有用。

6、然后点左上角【开始完全扫描】

7、报告导出：点击工具-创建报告（或者左侧菜单-报告）进入报告导出设置界面

8、根据实际情况选择导出模板，然后选择导出报告保存本地路径