从事安全测试工作，AppScan扫描工具不可或缺，本文我们就通过教程来认识这款强大的安全测试工具。

01 AppScan是什么

AppScan是IBM的一款web安全扫描工具，可以利用爬虫技术进行网站安全渗透测试，根据网站入口自动对网页链接进行安全扫描，扫描之后会提供扫描报告和修复建议等。AppScan有自己的用例库，版本越新用例库越全。

AppScan的工作原理:在使用AppScan的时候，通过配置网站的URL网址，AppScan会利用“探索”技术去发现这个网站存在多少个目录，多少个页面，页面中有哪些参数等，即探索出网站的整体结构。通过“探索”可确定测试的目标和范围，然后利用AppScan的扫描规则库，针对发现的每个页面的每个参数，进行安全检查。

02 APPScan扫描操作教程

1)打开AppScan–>文件–>新建–>创建新的扫描，弹出配置向导窗口，选择第一项：扫描web应用程序

(注意：选择第二项Web Service扫描功能时，需要提前下载安装好GSC Web Services记录器)

2)在URL输入框输入的地址即为被测网址or其IP地址，点击“下一步”

3)登录方法：根据实际需要选择(如：自动)，用户名和密码即为被测网站的登录账户，点击“下一步”

注意：

若登录方法选择“记录”，则可通过界面右侧的“记录®”按钮打开APPScan浏览器并输入登录信息，关闭浏览器后，AppScan即可记录该用户名和密码，扫描的时候相当于是已登录此账户的状态进行扫描;

若选择“提示”，则根据网站扫描探索过程中需要登录会提示输入登录信息，人工输入正确的账号信息之后继续扫描;

若选择“无”，则不需输入登录账户

4)选择适当的测试策略(一般保持默认选择，即“缺省值”)，点击“下一步”

5)测试优化，可根据具体需要选择是否优化，体现了扫描速度和时间长短，一般首次扫描选择无优化，进行全站扫描

6)设置启动模式，根据实际需要选择(如：全面自动扫描)，点击“完成”，即可开始启动扫描or测试

注意：

全面自动扫描：探索的同时，也进行攻击测试;

仅自动“探索”：自动探索网站的目录结构，可被测的链接范围及数目，不作实际攻击测试;

手动探索：先通过AppScan浏览器打开被测网站，手动点击不同的目录页面，然后AppScan会进行相关的记录;

稍后启动扫描：先把此次网站的扫描配置进行保存，后续若想扫描的时候再继续操作;

7)保存配置：比如完成后会弹出保存配置的弹窗，点击“是”，将此次配置命名保存到指定文件夹下

8)保存配置之后，即会自动跳转到扫描网站的界面开始扫描，一般扫描时间根据测试范围和策略有关，这里可以看到扫描进度

注意：扫描过程中，若扫描时间较长，可自动让其扫描，或者点击“暂停”-保存本次扫描，然后下次继续未扫描的过程;若直接点击右上角“×”关闭AppScan，则不会保存本次扫描的过程

9)扫描完成之后，可查看扫描的结果如下所示

10)测试完成之后，保存本次AppScan扫描测试的结果;从统计出的安全性问题，可以查看对应的漏洞链接、请求和响应、修复建议

03 使用注意事项

1)AppScan扫描过程中，会向服务器发送较多请求，会占用一定的正常请求访问的资源，可能导致一些垃圾数据，建议只在测试环境执行;

2)使用AppScan之前，请提前备份好数据库的数据，假若扫描致使服务器异常关闭，则需重启服务;若扫描产生的请求数据过多，或Web程序出现异常，可能需要从备份数据恢复还原。一般情况下，正常扫描Web程序很少可能出现Web服务异常的情形;

3)AppScan扫描配置时，有区分为Web Application(Web应用程序)和Web Service(Web服务)的扫描方向。若只对Web程序本身的漏洞检测，就选Web Application扫描即可;若选择Web Service扫描，则需提前告知服务器维护的负责人，建立异常情况发生的处理机制，最好避开访问请求的高峰or办公人员集中使用的时间，比如下班后自动扫描。

题外话

黑客/网络安全学习包

资料目录

1. 成长路线图&学习规划

2. 配套视频教程

3. SRC&黑客文籍

4. 护网行动资料

5. 黑客必读书单

6. 面试题合集

1.成长路线图&学习规划

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

2.视频教程

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！

4.护网行动资料

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

5.黑客必读书单

6.面试题合集

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

网络安全学习路线&学习资源