网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

Starting URL(起始网址)：此功能指定要扫描的起始网址.在大多数情况下，这将是该网站的登陆页面.选择这个演示站来测试Web应用程序漏洞.如果你想限制只扫描到这个目录下的链接,选中该复选框.

Case Sensitive Path(大小写的选择):如果你的服务器URL有大小写的区别,选择此项。对大小写的区别取决于服务器的操作系统,Linux/Unix中对大小写是敏感的,而Windows是没有的.

图三：

Additional Servers and Domains(另外的服务器和域):在扫描过程中Appscan尝试抓取本网站上的所有链接。当它发现了一个链接指向不同的域,它是不会进行扫描攻击的,除非在”Additional Servers and Domains”中有指定.因此,通过指定该标签下的链接,来告诉Appscan继续扫描,即使它和URL是不同的域下.点击下一步继续。

Login Management(登陆管理)

在扫描的过程中，可能会不小心碰到退出按钮导致Appscan注销.因此,要登陆到应用程序中,我们需要根据本条中的设置。

Recorded(记录):选择此项后,会出现一个新的浏览器，并尝试链接到指定的网站作为本扫描的起始URL.你需要输入账号和密码登陆到应用程序.这样设置之后你可以关闭浏览器，但是不要点击注销按钮.有时候你会发现打开的浏览器不是IE或者Mozilla，而是Appscan浏览器.你可以改变通过设置来改变这个.Tools–>Options –>Advanced,设置OpenIEBrower的值0–Appscan浏览器,1–IE,2–Firefox,3–Chrome.如果该网站的行为在不同的浏览器下有所不同,这个设置将是非常有用的.

图四

Prompt(提示):每次注销之后,Appscan会提示你登陆到应用程序中.如果你打算整个扫描你的系统，你可以选择这个选项.

Automatic(自动)：在这里你可以直接指定用户名和密码,当你需要登陆到应用程序的时候.

图五

点击下一步继续.

Test Policy

根据你的测试策略,你需要选择最适合你需求的策略,现有的策略都是默认的,仅应用和基础设置，侵入性的，完整的，关键的少数等等.其中大多是使用现有的策略.如果你不希望在登陆时发送测试和注销页面，你可以选择该选项。

图六

点击下一步继续.

Complete

这是开始扫描的最后一步.IBM Rational Appscan允许你选择你想要的扫描方式，即完成扫描,探索扫描等.

Start a full automatic sacn(开始一个完整的自动扫描):随着前面创建的配置,Appscan将开始探索和测试阶段.

Start with automatic explore only(开始探索扫描):Appscan只会探索应用程序，但不发送攻击.

Start with manual explore(开始手动探索):浏览器将被打开,你可以手动浏览器应用程序.

当你想做出更多的更改扫描配置,你可以选择最后一个选项”i will start scan later”.

在我们开始之前,我们有很重要的事情要做,它是Appscan的心脏和灵魂-“Full scan Configuration(全局扫描配置)”窗口.让我们明白为什么它在扫描任意应用程序的时候那么重要.

AppScan渗透测试工具

图七：

Full Scan Configuration

在下图中，有四个主要的部分–探索，链接，测试和一般，让我们看看具体的细节：

Explore

URL and Servers(URL和服务器): 扫描的URL和额外的服务器链接的处理.