AppScan 10安装使用

一、简介

AppScan是IBM的一款web安全扫描工具，具有利用爬虫技术进行网站安全渗透测试的能力，能够根据网站入口自动摸取网页链接进行安全扫描，提供了扫描、报告和修复建议等功能。

appscan有自己的用例库，版本越新用例库月全，针对漏洞的检测越全面，被检测系统的安全性相关较高，目前网上流传的最新版本是9，appscan为IBM一款商业用途的安全扫描工具，但是网络存在破解版。

二、下载

1.appscan10中文破解版-网盘地址：https://pan.baidu.com/s/1oha9zuKs4oSSrxJs-96z2Q提取码: 36az

2.官方文档(强烈建议先看下官方文档)： https://help.hcltechsw.com/appscan/Standard/10.0.5/home.html

三、安装

四、破解

1、复制 AppScanStdCrk 文件夹内的 rcl_rational.dll 文件到 AppScan安装目录，替换 rcl_rational.dll 文件

2、打开 AppScan软件-帮助-切换到IMB许可证-打开 AppScan License Manager...-添加 AppScanStandard.txt 文件到许可证配置

AppScanStandard.txt复制到C:\Program Files (x86)\HCL\AppScan Standard

完成

五、使用

提供的测试网站

demo.testfire.net(asp网站)——用户名：jsmith 密码： Demo1234

http://testhtml5.vulnweb.com/（php网站）

1.打开AppScan

2.新建-->扫描web应用程序

3.进入扫描配置向导页面，URL输入框的地址即为被测网址or其IP地址，如输入以下被测url，点击“下一步”

PS：

a、可以打开AppScan内置浏览器查看被测链接是否能正常访问；

b、以下被测网址为某个专门测试用的漏洞网站，非常规使用的网站

4.登录方法：根据实际需要选择（如：自动），用户名和密码即为被测网站的登录账户，点击“下一步”(如果有验证码则不适合这种方式)

提示：

a、若登录方法选择“记录”，则可通过界面右侧的“记录（R）”按钮打开APPScan内置浏览器并输入登录信息，关闭内置浏览器后，AppScan即可记录该用户名和密码，扫描的时候相当于是已登录此账户的状态进行扫描；

b、若选择“提示”，则根据网站扫描探索过程中需要登录会提示输入登录信息，人工输入正确的账号信息之后继续扫描；

c、若选择“无”，则不需输入登录账户（渗透一般不允许登陆）

5.选择适当的操作策略（一般保持默认选择，即“缺省值”），点击“下一步”

6.设置启动模式，根据实际需要选择（如：仅使用自动“探索”启动），点击“完成”，即可开始启动扫描or测试

注意：

a、全面自动扫描：探索的同时，也进行攻击测试；

b、仅自动“探索”：自动探索网站的目录结构，可被测的链接范围及数目，不作实际攻击测试；

c、手动探索：先通过AppScan内置浏览器打开被测网站，手动点击不同的目录页面，然后AppScan记录之；

d、稍后启动扫描：先把此次网站的扫描配置进行保存，后续若想扫描的时候再继续操作。

7.保存配置：比如点击“是”，将此次配置命名保存到指定文件夹下

8.待步骤7保存配置之后，即会自动跳转到扫描网站的界面开始扫描，一般扫描时间根据测试范围和策略有关，这里可以看到扫描进度

提示：

扫描过程中，若扫描时间较长，可自动让其扫描，或者点击“暂停”-保存本次扫描，然后下次继续未扫描的过程；若直接点击右上角“×”关闭AppScan，则不会保存本次扫描的过程

9.扫描完成之后，可查看扫描的结果如下所示

10.点击“扫描”-“仅测试”，开始启动对此次探索结果的攻击测试

根据扫描测试过程中的APPScan工作情况，是否有扫描出安全漏洞，是否在扫描过程中进度受阻而不能继续扫描，是否覆盖到设定的url范围，对同一模块可重复扫描做对比，调整获得适合自己环境的配置

11.测试完成之后，保存本次AppScan扫描测试的结果；从统计出的安全性问题，可以查看对应的漏洞链接、请求和响应、修复建议

12.点击“报告”，创建不同要求的安全报告

六、AppScan使用特别注意事项

【1】AppScan扫描过程中，会向服务器发送较多请求，会占用一定的正常请求访问的资源，可能导致一些垃圾数据，建议只在本地测试环境执行

【2】使用AppScan之前，请提前备份好数据库的数据，假若扫描致使服务器异常关闭，则需重启服务；若扫描产生的请求数据过多，或Web程序出现异常，可能需要从备份数据恢复还原。一般情况下，正常扫描Web程序很少可能出现Web服务异常的情形

【3】AppScan扫描配置时，有区分为Web Application（Web应用程序）和Web Service（Web服务）的扫描方向。若只对Web程序本身的漏洞检测，就选Web Application扫描即可；若选择Web Service扫描，则需提前告知服务器维护的负责人，建立异常情况发生的处理机制，最好避开访问请求的高峰or办公人员集中使用的时间，比如下班后自动扫描

【4】AppScan扫描的结果并不代表完全真实的情况，受限于所用扫描器版本的漏洞规则库的规则，以及操作者的配置策略，扫描过程中有可能会使得扫描器出现误判or漏测。如有必要，还需对扫描的结果进行人工校验，可对同一Web应用分次进行扫描对比差异性

【5】扫描配置时，一般按照默认的测试策略-WASC威胁分类即可；若服务器本身所能承受的性能压力不强，or存在较多漏洞的时候，不宜选择“侵入式”策略，该策略存在着可能会入侵服务器、关闭服务、破坏数据库等风险

【6】使用破解版的AppScan扫描Web应用时，若Web网站本身结构比较复杂、模块众多、涉及的url数目巨大（几万-十多万），则不宜一次性全站扫描，有可能连续扫描几个小时都不能探索完网站的所有结构。持续时间过长还可能造成AppScan出现卡顿，显示“正在扫描中”，但实际上已经没有继续再扫描。因此，当第一次探索了大概的网站结构和容量之后，若容量巨大，最好分而治之，按模块结构分次进行扫描测试

【7】结果分析（Analysis）

在APPScan扫描结果基础上，根据不同的严重级别进行排序、手工+工具验证的方式对漏洞验证可靠性，排除误报的情况，并尽可能找出漏报的情况，把本次扫描结果汇总，对以上已验证存在的安全漏洞排列优先级、漏洞威胁程度，并提出每个漏洞的修复建议

然后，再把此次安全漏洞整理的报告提交给项目负责人，由负责人决定哪些漏洞转给开发工程师修复，而后再由安全测试工程师进行回归验证修复的状况