appscan及问题分析--工具使用详解

 

appscan及问题分析--工具使用详解

拍摄于山东郓城--水浒好汉城

 

appscan及问题分析--工具使用详解

一. 扫描与配置

安装完成后,打开appscan应用程序,此时有3个选项,一般默认选择第1个“扫描Web应用程序”

    a.扫描web应用程序:自动或手动浏览web应用程序

    b.扫描web服务:使用浏览器或其他第三方测试工具来浏览web服务

    c.使用外部客户机扫描:使用移动设备、浏览器或其他客户机进行浏览,并用appscan作为代理 

appscan及问题分析--工具使用详解

1.扫描Web应用程序

进入扫描配置向导页面,起始URL框内输入本次扫描系统的登陆页面,工具会自动检测URL有效性,在其他服务器和域这栏里,如果有其他服务器和域也可以填写,下面的红色框是配置其他链接设置(代理、http认证)。

appscan及问题分析--工具使用详解

若上一步勾选了其他连接设置选项,则配置向导增加一个代理、http认证配置页面。

appscan及问题分析--工具使用详解

登陆管理

进入“登陆管理”页面,此页面记录登陆序列,为后面的扫描记录登陆凭证。共有4种登陆方法。

记录

自动

提示

“记录”方式,Appscan安装后会有两个内置的浏览器,IEChromium,记录登陆方式时可以选择这2个内置的浏览器(推荐),也可选择外部浏览器或外部设备。外部设备后面会做介绍。

appscan及问题分析--工具使用详解

选择内置浏览器记录时,会自动跳转至系统登陆页面,输入用户名密码登陆系统,此时会自动记录输入的身份认证信息。

appscan及问题分析--工具使用详解

登陆成功后点击“我已登录到站点”,页面开始自动播放并验证登陆信息。

注意:这里的播放会进行二次登陆验证,此时cookie信息会刷新,但是HTTP请求头仍是第一次记录的请求头,工具会把第一次记录的请求头当作固定值,这时如果我们设置了CSRFtoken验证的话,则记录不通过。

appscan及问题分析--工具使用详解

若验证通过则显示“已成功配置登陆”,后面扫描的时候就以此次记录的登陆序列为准。

appscan及问题分析--工具使用详解

自动登陆

自动登陆时需要直接输入用户名和密码,后续扫描时直接使用这里的用户名密码。

appscan及问题分析--工具使用详解

提示登陆

这种方法只需要记录第一次登陆信息

注意:只记录第一次登陆信息,后续扫描时不会使用此次记录的登陆信息。每当扫描过程中遇到需要登陆或认证的URL,系统会跳转至登陆页面,手动输入用户名密码登陆成功后才可继续扫描。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/zzwsdj.html