appscan只要关注应用层的安全问题

一，appscan扫描
1，白盒扫描=静态扫描，扫描源代码。
2，动态扫描=黑盒扫描，用工具来模拟黑客的攻击，查看应用层的响应。产品内部会有大量受攻击的库，当我们把一个模拟攻击发给我们的应用的时候，然后用工具来分析响应。

二，AppScan Web应用扫描流程

 

三，自动网络探索能力优势

四，设置配置向导
测试网址：http://demo.testfire.net/bank/login.aspx
文件----->新建----->预定义模板（选择“常规扫描"为例）----->web应用程序扫描------>输入需要测试网址

 

点击"记录”

 

Username:jsmith
password:demo1234

然后关闭Altoro Mutual：Online Banking Longin-Appscan 浏览器，在扫描配置向导页面的“使用以下登录序列登录应用程序”框中会显示登录的会员登录成功后的网址信息，然后点击“下一步”

 

再点击下一步

点击完成

选择"是“自动保存

保存扫描结果

五，web services扫描

 

接口测试网址：http://demo.testfire.net/transfer/transfer.asmx?wsdl

在扫描配置向导中选择通用服务客户机

 

设置起始URL

默认测试策略web  Service

完成

 

显示通用服务窗口

输入用户id选择调用

转账接口数据的输入

 

方法调用

探索完成之后关闭Generic Sercice Client窗口，appscan就会对探索的结果进行分析扫描，
然后在扫描选项中选择仅测试

显示扫描结果

六、Glass Box Scanning-架构

 

打开wed应用扫描的文件，在工具菜单选项中选择Glass box代理程序管理-----玻璃盒代理

可以帮助用户发现隐藏的参数，页面

七、记录代理