如何使用AppScan扫描大型网1

如何使用 AppScan 扫描大型网站 经常有客户抱怨，说AppScan无法扫描大型的网站，或者是扫描接近完成时候无法保存，甚至保存后的结果文件下次无法打开?；同时大家又都很奇怪，作为一款业界出名的工具，如此的脆弱？是配置使用不当还是自己不太了解呢？我们今天就一起来讨论下AppScan扫描大型网站会遇到的问题以及应对。 AppScan 工作原理和网站规模讨论 1) 网站规模 2) AppScan的工作原理 3) 扫描规模：AppScan的扫描能力收到哪些因素的影响？ 好的，对AppScan工具和网站的特点有了了解以后，我们来讨论如何更有效地使用AppScan来进行安全扫描，特别是扫描大型网站？ 使用 AppScan 来进行扫描 我们按照 PDCA的方法论来进行规划和讨论； 建议的AppScan使用步骤：PDCA: Plan,Do,check, Action and Analysis. 计划阶段：明确目的，进行策略性的选择和任务分解。 1) 明确目的：选择合适的扫描策略 2) 了解对象：首先进行探索，了解网站结构和规模 3) 确定策略：进行对应的配置 a) 按照目录进行扫描任务的分解 b) 按照扫描策略进行扫描任务的分解 执行阶段：一边扫描一遍观察 4) 进行扫描 5) 先爬后扫（继续仅测试） 检查阶段（Check） 6) 检查和调整配置 结果分析(Analysis) 7) 对比结果 8) 汇总结果（整合和过滤） 其他常见的 AppScan 配置： 1) 扫描保存的间隔时间 2) 内存使用量 3) 临时文件的保存路径 4) AppScan的工作原理 AppScan其实是一个产品家族，包括众多的应用安全扫描产品，从开发阶段的源代码扫描的 AppScan source edition,到针对 WEB应用进行快速扫描的AppScan standard edition.以 及 进 行 安 全 管 理 和 汇 总 整 合 的 AppScan enterprise Edition等，我们经常说的 AppScan就是指的桌面版本的 AppScan,即 AppScan standard edition.其安装在 Windows操作系统上，可以对网站等 WEB应用进行自动化的应用安全扫描和测试。 来张 AppScan的截图，用图表说话，更明确。 图表 1 AppScan 标准版界面 请注意右上角，单击“扫描”下面的小三角，可以出现如下的三个选型“继续完全扫描”，“继续仅探索”，“继续仅测试“，有木有？什么意思？ 理解了这个地方，就理解了AppScan的工作原理，我们慢慢展开： 还没有正式开始，所以先不管“继续“，直接来讨论’完全扫描”，“仅探索”，“仅测试”三个名词： AppScan是对网站等 WEB应用进行...