appscan的工作原理 appscan使用教程

品牌型号：华硕台式电脑

系统： windows 10 正式版

软件版本：HCL AppScan Standard

HCL AppScan Standard简称appscan，是IBM公司推出的一款功能十分强大的安全测试工具软件，支持windows操作系统，可以对网站应用进行自动化的安全扫描测试。那么appscan的工作原理是什么呢？今天就来给大家分享appscan的使用教程和工作原理。

一、appscan的工作原理

appscan工作原理简单来说就是模拟攻击测试对象，从结果返回中得到相应分析报告并给出相应的修复建议。

举个简单的例子，网站上的网页其实都是一行行的代码编写的，除了平时看到的前端的页面以外，本质的内容是数据的交换和计算，网站用户在浏览和使用网站应用的时候，实际的底层逻辑就信息的交互，用户往网站服务器发送请求指令，服务器根据代码赋予的规则进行计算和验证从而给出反馈，而页面代码的规则有可能存在一些漏洞，从而带来一些风险。而appscan的工作就是模拟各种攻击手段，然后从服务器给出反馈中分析出相应的漏洞。

appscan的工作过程大致可以分为以下几个阶段：

阶段一、爬行网站，也就访问网站的所有页面，从而确定网站的一个整体架构，这里的架构指的是所有代码架构，包括前端面的页面代码和后台的页面代码。

阶段二、得到网站架构后，对网站发起访问请求，并使用appscan的规则库里的规则对测试对象发起模拟攻击。这个测试并不需要用到服务器的权限，也就是所谓的“黑盒扫描”。

阶段三、对测试对象发起攻击后，服务器会给出相应的反馈（或者叫返回），得到返回数据后，appscan会对攻击后的反馈数据与正常的访问的反馈数据进行对比，再根据自身的规则库存进行对比，从而得分析是否存在安全漏洞。并从规则库中调出相应的修改建议。

虽然appscan的工作原理简单的来说只有以上三个步骤，实际对于每个项目来说，要面临很多复杂的计算和测试，这里就不详细展开说明了。

二、appscan使用教程

不得不说appscan的强大除了扫描方式和算法外，更强大的就是appscan的规则库，规则库中的数据也随着技术发展不断的在更新。所以在使用appscan时尽量先将软件更新到最新的版本。

appscan的工作量大部分是依托于appscan的工程师们的努力，对于appscan的用户来说，工作量并不大，接下就给大家简单分享一下appscan的使用教程。

步骤一、双击打开appscan，点击文件菜单下的新建命令。

步骤二、在弹出的对话框中选择测试对象的类型，这里以扫描web应用程序为例。

步骤三、输入扫描对象的起始网址或者ＩＰ地址。

步骤四、设置登录管理，有的网页需要输入相应的帐户密码才能进行访问，可以根据测试对象及要求来选择登录方式。

步骤五、选择测试策略，这里需要根据地需求选择相应的测试策略，appscan提供许多的策略模板供选择，同时也可以使用自定义的模板。

步骤六、根据情况选择测试优化，不同的工作内容可以选择不测试方案，这里的优化提可以在速度和问题覆盖范围来平衡测试的时间。

步骤七、设置启动方式。

步骤八、等待扫描结束，点击工具栏的报告按钮，根据实际需求导出不同的分析报告。

本文为大家简单分享了appscan的工作原理和appscan使用教程的一些基本操作，希望对大家有所帮助。