📝 面试求职: 「面试试题小程序」 ,内容涵盖 测试基础、Linux操作系统、MySQL数据库、Web功能测试、接口测试、APPium移动端测试、Python知识、Selenium自动化测试相关、性能测试、性能测试、计算机网络知识、Jmeter、HR面试,命中率杠杠的。(大家刷起来…)
📝 职场经验干货:
从事安全测试工作,AppScan扫描工具不可或缺,本文我们就通过教程来认识这款强大的安全测试工具。
01 AppScan是什么
AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。AppScan有自己的用例库,版本越新用例库越全。
AppScan的工作原理:在使用AppScan的时候,通过配置网站的URL网址,AppScan会利用“探索”技术去发现这个网站存在多少个目录,多少个页面,页面中有哪些参数等,即探索出网站的整体结构。通过“探索”可确定测试的目标和范围,然后利用AppScan的扫描规则库,针对发现的每个页面的每个参数,进行安全检查。
02 APPScan扫描操作教程
1)打开AppScan–>文件–>新建–>创建新的扫描,弹出配置向导窗口,选择第一项:扫描web应用程序
(注意:选择第二项Web Service扫描功能时,需要提前下载安装好GSC Web Services记录器)
2)在URL输入框输入的地址即为被测网址or其IP地址,点击“下一步”
3)登录方法:根据实际需要选择(如:自动),用户名和密码即为被测网站的登录账户,点击“下一步”
注意:
若登录方法选择“记录”,则可通过界面右侧的“记录®”按钮打开APPScan浏览器并输入登录信息,关闭浏览器后,AppScan即可记录该用户名和密码,扫描的时候相当于是已登录此账户的状态进行扫描;
若选择“提示”,则根据网站扫描探索过程中需要登录会提示输入登录信息,人工输入正确的账号信息之后继续扫描;
若选择“无”,则不需输入登录账户
4)选择适当的测试策略(一般保持默认选择,即“缺省值”),点击“下一步”
5)测试优化,可根据具体需要选择是否优化,体现了扫描速度和时间长短,一般首次扫描选择无优化,进行全站扫描
6)设置启动模式,根据实际需要选择(如:全面自动扫描),点击“完成”,即可开始启动扫描or测试
注意:
全面自动扫描:探索的同时,也进行攻击测试;
仅自动“探索”:自动探索网站的目录结构,可被测的链接范围及数目,不作实际攻击测试;
手动探索:先通过AppScan浏览器打开被测网站,手动点击不同的目录页面,然后AppScan会进行相关的记录;
稍后启动扫描:先把此次网站的扫描配置进行保存,后续若想扫描的时候再继续操作;
7)保存配置:比如完成后会弹出保存配置的弹窗,点击“是”,将此次配置命名保存到指定文件夹下
8)保存配置之后,即会自动跳转到扫描网站的界面开始扫描,一般扫描时间根据测试范围和策略有关,这里可以看到扫描进度
注意:扫描过程中,若扫描时间较长,可自动让其扫描,或者点击“暂停”-保存本次扫描,然后下次继续未扫描的过程;若直接点击右上角“×”关闭AppScan,则不会保存本次扫描的过程
9)扫描完成之后,可查看扫描的结果如下所示
10)测试完成之后,保存本次AppScan扫描测试的结果;从统计出的安全性问题,可以查看对应的漏洞链接、请求和响应、修复建议
03 使用注意事项
1)AppScan扫描过程中,会向服务器发送较多请求,会占用一定的正常请求访问的资源,可能导致一些垃圾数据,建议只在测试环境执行;
2)使用AppScan之前,请提前备份好数据库的数据,假若扫描致使服务器异常关闭,则需重启服务;若扫描产生的请求数据过多,或Web程序出现异常,可能需要从备份数据恢复还原。一般情况下,正常扫描Web程序很少可能出现Web服务异常的情形;
3)AppScan扫描配置时,有区分为Web Application(Web应用程序)和Web Service(Web服务)的扫描方向。若只对Web程序本身的漏洞检测,就选Web Application扫描即可;若选择Web Service扫描,则需提前告知服务器维护的负责人,建立异常情况发生的处理机制,最好避开访问请求的高峰or办公人员集中使用的时间,比如下班后自动扫描。
最后: 下方这份完整的软件测试视频教程已经整理上传完成,需要的朋友们可以自行领取 【保证100%免费】
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
