WEB安全漏洞扫描与处理（上）——安全漏洞扫描工具AppScan的安装使用

很多公司对软件会有安全的要求，一般测试公司会使用安全漏洞扫描工具对软件进行漏扫，然后给出安全报告，然后软件开发人员会根据提供的安全报告进行漏洞的处理。我们接触到的测评公司，使用的是漏洞扫描工具AppScan，这里介绍一下AppScan的安装使用，以及安全报告的生成。

1漏扫工具AppScan的下载和安装

1.1 AppScan的下载

利用百度搜索Appscan，可以找到对应的资源，下载后，一般是压缩文件，大概500M左右，现在的版本是10.0，旧一些的版本9.0也可以，文件大小差不多。文件解压后，有一个安装文件，还有资料。以10.0.0版本为例，安装文件为AppScan_Setup_10.0.0.exe，文件在文件夹AppScanStdCrk中。

打开AppScanStdCrk之后，里面有文件，AppScanStandard.txt和rcl_rational.dll。

1.2 AppScan的安装

以管理员权限运行AppScan_Setup_10.0.0.exe，进行默认安装，通过一直点击下一步，可以完成安装。

安装后进行软件的操作。

将rcl_rational.dll复制保存到软件的安装目录C:\Program Files (x86)\HCL\AppScan Standard中。

然后打开软件，选择帮助—许可证，点击下方的切换到IBM许可证，在新弹出的页面点击“打开AppScan License Manager”，然后在弹出的页面点击右上方的许可证配置，点击+号，

选择文件AppScanStandard.txt，导入文件，导入成功后确定。

通过替换文件，以及导入文本，软件安装成功，软件信息如下所示。

2 AppScan的漏洞扫描过程

利用工具AppScan进行漏扫，可以自动化的对某个网站进行漏洞扫描。

比如对某个网站进行漏扫，首先点击文件—新建，选择扫描Web应用程序，然后会出现扫描配置向导。第一步确认起始URL，在文本输入栏输入要扫描的网址或网站IP，点击下一步。

第二步是进行登录管理的设置。可以选择默认的记录方式登录到应用程序，点击记录，选择chrome（比较常用），进行登录操作，这时候工具会记录下来登录信息。然后点击下一步。

第三步进行测试策略的选择，上方有测试策略的选择框，下方左侧是策略的列表，下方右侧是对测试策略的说明。

第四步是测试优化的选择。

最后一步是选择启动扫描的方式，默认是启动全面自动扫描，点击完成后，工具开始漏洞扫描。也可以选择“我将稍后启动扫描”，进行策略配置后，再进行扫描工作。

启动扫描后，等待扫描任务完成。

3安全报告的生成

扫描完成之后，会在软件的页面显示相应的扫描结果信息，可以通过点击对应的信息点直接查看漏洞情况。

也可以生成pdf格式的安全报告，提交给相应的人员，以便进一步的处理。点击菜单下面的工具栏的报告。

在创建报告的页面选择安全性，然后可以选择一个模板，右侧会显示模板中包含的内容，选择详细模板，基本上会包含绝大部分内容，也可以直接在右侧勾选内容。

选择完成后，点击保存报告，则会生成pdf安全报告。

4 结语

该部分主要对AppScan的安装、漏洞扫描以及报告生成进行了说明，是一个简易的操作描述，如果对漏洞扫描有特别要求，还需要进行测试策略的详细配置，在配置工具栏，可以看到详细的策略配置信息，后续还要介绍安全测试报告的分析，以及对应漏洞的处理。