AppScan测试越权步骤 AppScan接口安全测试步骤

品牌型号:联想ThinkPad E14

系统:Windows 10家庭版

软件版本:AppScan

网络安全已成为当今企业和个人离不开的问题，对站点中是否存在安全漏洞我们可以通过安全测试工具进行测试，AppScan便是一款功能强大的安全漏洞测试工具。除了进行基础的安全漏洞测试外，AppScan还能测试越权。下面我们就来看AppScan测试越权步骤，以及AppScan接口安全测试步骤吧！

一、AppScan测试越权步骤

顾名思义，测试越权即测试无权限用户能否访问只有权限用户才可以访问的范围。针对这种测试并不难，首先我们要在【探索】部分设置用户探索的位置，然后再于【测试——特权升级】位置添加权限用户和无权限用户进行对比。

1.设置探索

首先，我们在【探索】位置的【排除路径和文件】和【探索选项】内设置探索的范围。

2.编辑特权升级

（1）特权升级位置

完成其他配置后，在【测试】位置点击【特权升级】便可进入设置界面。

（2）设置特权升级

在【特权升级】设置界面，我们需要添加对比用户，首先在【角色】栏内添加管理员账户；在【非认证的用户测试】位置添加无权限用户。所有内容配置完成后，便可查看两个用户可探索的范围对比（如图4）。

二、AppScan接口安全测试步骤

首先，我们先了解什么是接口安全测试，接口测试是对站点接收短信的测试。也就是我们常说的API测试，这种测试在AppScan只有在新版的软件中才有。下面我们以AppScan的10.0.8版本为例简单介绍接口安全测试的步骤。

1.测试位置

启动AppScan后，在主界面中便有【web API】测试入口，我们直接单击便可进入配置设置界面。

2.配置

接口测试与web应用程序测试只有两点不同，一是客户机；二是描述文件。其他均与web应用程序测试的配置一致。

（1）客户机

这里我们可以使用浏览器，或者本地客户机，以及远程客户机，直接选择即可。

（2）描述文件

关于描述文件，这里有两种填写方式，一种是URL；另一种是文件路径。在此添加文件后，可以提高测试的覆盖率。其他【登录管理】、【测试策略】、【测试优化】与web应用程序的测试没分别，在AppScan中文网站中可以找到配置教程。

三、总结

以上便是，AppScan测试越权步骤，AppScan接口安全测试步骤的内容。关于测试越权需要我们在【测试——特权升级】位置添加对比用户，测试后便可直观的查看无权限用户是否有越权的状况。AppScan接口安全测试即web API测试，与web应用程序测试相比增加了【客户机】和【描述文件】的内容，其他部分与web应用程序测试一致。更多AppScan使用技巧，尽在AppScan中文网站！