AppScan如何扫描移动app？

Posted 2023-03-18

参考技术A Appscan作为一款Web安全测试工具，更多的情况下是对web系统进行扫描。对App来说使用的时候是相对比较少，但是还是会用到的。

上次用Appscan扫描app的时候还是在2018年，隔了这么多年又用到了。以前也写过相应的文章，但是网站数据丢失，现重新整理记录下整个过程以不防之需。

前提条件：手机的网络需要和电脑在同一个网络下才可以，可以通过手机连接电脑热点的方式，尽量不要有多余的网络连接，最好只有电脑和手机

1、选择“使用外部客户机扫描”

2、设置代理

这里选择本地，代理端口可以自己设置也可以让appscan自动选择端口

3、下一步

4、将手机的ip加入白名单

5、设置手机代理

服务器地址为装有appscan电脑的ip地址

6、准备记录

点击‘记录’，

7、获取数据

操作时可以对app中每一个步骤都进行操作一遍，这样捕获的记录会相对更完整一些，结束后点击“停止记录”，选择确定，接下来就是对捕获数据进行分析了。

如何有效的使用AppScan扫描大型网站

参考技术A 对大站点的扫描Appscan支持其实并不好，首先Appscan比较耗资源（特别是内存）。楼主说“用APPSCAN扫描一个门户网站页面6万多扫了6个小时还没结束”，其实URL在2000以上就属于大的website了，我曾经试过在URL数达到3000+，扫描测试时间会急剧增加，比较好的方法是化整为零，采用多次分模块扫描比较好。内存不足的问题我们可以做一下设置：选项>高级>PerformanceMonitor.RestartOnOutOfMemoryBoolean设置成True，当Appscan出现内存不足的时候，就会重启，重启后会继续测试