AppScan最新版 v10.0.2 中文破解版

AppScan是IBM公司推出的一款Web应用安全测试工具，采用黑盒测试的方式，可以扫描常见的web 应用安全漏洞。AppScan 功能十分齐全，支持登录功能并且拥有十分强大的报表。在扫描结果中，不仅能够看到扫描的漏洞，还提供了详尽的漏洞原理、修改建议、手动验证等功能。

AppScan特色功能

1、动态分析(“黑盒扫描”)

这是主要方法，用于测试和评估运行时的应用程序响应。

2、静态分析(“白盒扫描”)

这是用于在完整 Web 页面上下文中分析 JavaScript 代码的独特技术。

3、交互分析(“glass box 扫描”)

动态测试引擎可与驻留在 Web 服务器本身上的专用 glass-box 代理程序交互，从而使软件能够比仅通过传统动态测试时识别更多问题并具有更高准确性。

4、软件的高级功能包括：

常规和法规一致性报告，并提供超过 40 个不同的开箱即用模板

AppScan新版特性

1、增量扫描

此新功能可识别应用程序中的更改，大大减少在重新扫描期间发送的测试次数，从而缩短了重新扫描过程的时间。选项有：仅测试应用程序的新增部分。

测试应用程序的新增部分，并重新测试先前发现问题的部分。在原始扫描中没有发现漏洞的测试不会在重新扫描时重新发送到站点的相同部分。

2、通过机器学习优化了基于操作的探索

使用机器学习提高了探索阶段的效率。可以预测可能引导至站点的已探索部分的操作，从而避免这些操作。

3、带外漏洞的 AppScan DNS

使用 AppScan DNS 解析，提升了对例如 OS 命令、SSRF 和 XXE 攻击等漏洞的检测能力，此类漏洞无法通过已测试的应用程序直接检测。

4、文档

改进了帮助文件格式，现在可以在缺省浏览器中直接打开。文档现在可提供英语、法语、日语、简体中文和繁体中文版本。

AppScan使用教程

打开AppScan软件，点击工具栏上的 文件–> 新建，点击 “Regular Scan”，出现扫描配置向导页面，这里是选择“Web应用程序扫描，如下图所示：

点击”下一步“，出现URL和服务器的配置页面，如图，输入需要测试的URL

特别说明：

在“起始URL”下面输入需要启动扫描的URL，如果勾选了“仅扫描此目录中或目录下的链接”(如下图)，则会只扫描起始URL目录或者子目录中的链接。

举例：如果我们的网站下面有两个目录test1和test2，当起始URL中输入/"并勾选“仅扫描此目录中或目录下的链接”的时候，appscan不会扫描目录下的所有链接。

另外，如果被扫描对象的主机是unix或者linux，建议勾选下面的“将所有路径作为区分大小写来处理(Unix、Linux等)(T)”选项(如下图)，因为unix或者linux是对大小写敏感的;如果被扫描对象的主机是windows主机，则没有必要勾选此项。

如果扫描的时候需要顺便扫描其它的服务器或者域，则需要在底下的“其它服务器和域”中添加对应的路径，如下图所示：

点击”下一步“，出现登录管理的页面，这是因为对于大部分网站，需要用户名和密码登录进去才可以查看许多内容，未登录的情况下就只可以访问部分页面。

最常用的登录方法有两种：记录和自动，如下图所示：

点击”下一步“，出现测试策略的页面，可以根据不同的测试需求进行选择，这里选择的是”完成(Complete)“，即进行全面的测试

如果需要在登录注销页面上进行攻击测试，则需要勾选“发送登录和注销页面上的测试”两个勾选框(如下图)，然后点击下一步，如下图所示：

点击”下一步“，出现完成配置向导的界面，这里使用默认配置，可根据需求更改，如下图所示：

点击”完成“，设置保存路径，即开始扫描，如下图所示：

待扫描专家分析完毕，点击”扫描 –> 继续完全扫描“即可

等待测试完毕，即可分析结果