AppScan Standard 在哪里设置语言

Posted 2023-04-11

IBM Rational AppScan Standard（下文简称 AppScan）作为面向 Web 应用安全黑盒检测的自动化工具，得到业界的广泛认可和应用。很多人使用 AppScan 时都采用其强大的手工探索加自动探测的方式，然而这种方式并不适用于所有场景。使用 AppScan 进行安全扫描时，我们必须保证 AppScan 探索出来的 URL 的有效性（尤其是用户想导出这些探索结果以供复用的情况下），有效性即指该 URL 对应的 HTTP 请求能被服务器端接受并按照期望的方式进行处理。某些场景下若干个 URL 必须以特定的顺序执行时方才有效。在这种场景下，前面提及的探测方式不一定能保证所探测出来的 URL 的有效性，因此可能会导致部分 URL 测试失败。利用 AppScan 的多步骤操作可以处理必须依特定顺序执行的若干 URL 的有效性问题。本文将跟读者分享 AppScan 多步骤操作所适用的场景，剖析 AppScan 多步骤操作的基本原理，并结合案例向读者演示了多步骤操作的使用方法。 参考技术A

AppScan如何扫描移动app？

参考技术A Appscan作为一款Web安全测试工具，更多的情况下是对web系统进行扫描。对App来说使用的时候是相对比较少，但是还是会用到的。

上次用Appscan扫描app的时候还是在2018年，隔了这么多年又用到了。以前也写过相应的文章，但是网站数据丢失，现重新整理记录下整个过程以不防之需。

前提条件：手机的网络需要和电脑在同一个网络下才可以，可以通过手机连接电脑热点的方式，尽量不要有多余的网络连接，最好只有电脑和手机

1、选择“使用外部客户机扫描”

2、设置代理

这里选择本地，代理端口可以自己设置也可以让appscan自动选择端口

3、下一步

4、将手机的ip加入白名单

5、设置手机代理

服务器地址为装有appscan电脑的ip地址

6、准备记录

点击‘记录’，

7、获取数据

操作时可以对app中每一个步骤都进行操作一遍，这样捕获的记录会相对更完整一些，结束后点击“停止记录”，选择确定，接下来就是对捕获数据进行分析了。