如何使用 AppScan 扫描大型网站 经常有客户抱怨,说AppScan无法扫描大型的网站,或者是扫描接近完成时候无法保存,甚至保存后的结果文件下次无法打开?;同时大家又都很奇怪,作为一款业界出名的工具,如此的脆弱?是配置使用不当还是自己不太了解呢?我们今天就一起来讨论下AppScan扫描大型网站会遇到的问题以及应对。 AppScan 工作原理和网站规模讨论 1) 网站规模 2) AppScan的工作原理 3) 扫描规模:AppScan的扫描能力收到哪些因素的影响? 好的,对AppScan工具和网站的特点有了了解以后,我们来讨论如何更有效地使用AppScan来进行安全扫描,特别是扫描大型网站? 使用 AppScan 来进行扫描 我们按照 PDCA的方法论来进行规划和讨论; 建议的AppScan使用步骤:PDCA: Plan,Do,check, Action and Analysis. 计划阶段:明确目的,进行策略性的选择和任务分解。 1) 明确目的:选择合适的扫描策略 2) 了解对象:首先进行探索,了解网站结构和规模 3) 确定策略:进行对应的配置 a) 按照目录进行扫描任务的分解 b) 按照扫描策略进行扫描任务的分解 执行阶段:一边扫描一遍观察 4) 进行扫描 5) 先爬后扫(继续仅测试) 检查阶段(Check) 6) 检查和调整配置 结果分析(Analysis) 7) 对比结果 8) 汇总结果(整合和过滤) 其他常见的 AppScan 配置: 1) 扫描保存的间隔时间 2) 内存使用量 3) 临时文件的保存路径 4) AppScan的工作原理 AppScan其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的 AppScan source edition,到针对 WEB应用进行快速扫描的AppScan standard edition.以 及 进 行 安 全 管 理 和 汇 总 整 合 的 AppScan enterprise Edition等,我们经常说的 AppScan就是指的桌面版本的 AppScan,即 AppScan standard edition.其安装在 Windows操作系统上,可以对网站等 WEB应用进行自动化的应用安全扫描和测试。 来张 AppScan的截图,用图表说话,更明确。 图表 1 AppScan 标准版界面 请注意右上角,单击“扫描”下面的小三角,可以出现如下的三个选型“继续完全扫描”,“继续仅探索”,“继续仅测试“,有木有?什么意思? 理解了这个地方,就理解了AppScan的工作原理,我们慢慢展开: 还没有正式开始,所以先不管“继续“,直接来讨论’完全扫描”,“仅探索”,“仅测试”三个名词: AppScan是对网站等 WEB应用进行...
