安全测试工具appscan的原理 appscan扫描结果分析

品牌型号：华硕台式电脑

系统： windows 10 正式版

软件版本：HCL AppScan Standard

无论是新建立的网站还是正在运营的网站，随时都会面临被攻击的风险，所以网络的安全是任何一个网站的重心，而相关从业人员需要及时的发现网站中的各种安全漏洞进行修复，从避免各种风险的产生， HCL AppScan Standard是一款功能强大的测试工具，那么大家知道安全检测工具appscan的原理是什么呢？appscan对扫描结果分析是什么样的？

一、安全测试工具appscan的原理

一般一个网站由多个页面组成，而每个页面里的每个参数都有可能存在安全漏洞从而成为被攻击的对象，appscan工作原理简单来说是就通过爬行这些网页的代码来确定网站的整体结构，并对被测试的网页进行模拟攻击，从而得出检测报告。具体工作原理可以分为以下几个过程：

1、通过探索功能，使用http请求和http返回，对每个网页的代码进行爬行从而得到网站的整体结构。

2、使用appscan内置的漏洞规则库构造出不同的代码，对网页参数进行修改或者发起请求或者攻击。

３、当对网页http进行请求后会收到网页的http返回，接下来appscan的工作就是正常请求的返回和ｈttp返回进行对比，从而得到两者的差异性，再对比规则库中规则设定，以判断网页中是否存在不同类型的安全漏洞。

４、最后appscan会根据测试的结果，给这些漏洞进行风险划分并给出相应的提示。与此同时appscan会给出相应的修复建议，这也是这软件非常强大的一个地方。

二、appscan扫描结果分析

appscan的窗口主要分为三模块，应用链接，安全问题和分析。

1、应用链接模块显示的是被测试网站的结构，基于网站的内容会以文件夹和文件的形式显示在这个模块，每个文件或者文件夹后面括号里面的数字表示应该页面存在的问题数。如果文件或文件夹被一条线划掉，则表示这个页面的请求失效。

2、安全问题模块主要显示测试出的漏洞的详细内容，这些安全漏洞会以严重性进行排序，点击这些漏洞展开树状图，就可以看到每个漏洞的具体信息。

3、分析模块，分析模块有四个选项卡：问题信息，咨询，修订建议和请求/响应，在安全问题模块点击一个漏洞，就能在分析模块对应的选项卡下查看相应的内容。

（1）问题信息是显示与网页漏洞的类型，用于确认这个漏洞的有效性以及判断是否需要做出应对。

（2）资询选项卡是对漏洞进行详细的技术说明，如漏洞严重程度，漏洞原理，受影响的内容等等。

（3）修订建议这个选项卡会针对特定漏洞给出相应的应对策略和步骤。

（4）请求/响应，这个选项卡显示发送给应用程序的测试相关反应的细节。

本文给大家分享安全测试工具appscan的原理，以及appscan的三大模块，特别对appscan扫描结果分析进行展开介绍，希望对大家有所帮助。