拍摄于山东郓城--水浒好汉城
安装完成后,打开appscan应用程序,此时有3个选项,一般默认选择第1个“扫描Web应用程序”
a.扫描web应用程序:自动或手动浏览web应用程序
b.扫描web服务:使用浏览器或其他第三方测试工具来浏览web服务
c.使用外部客户机扫描:使用移动设备、浏览器或其他客户机进行浏览,并用appscan作为代理
进入扫描配置向导页面,起始URL框内输入本次扫描系统的登陆页面,工具会自动检测URL有效性,在其他服务器和域这栏里,如果有其他服务器和域也可以填写,下面的红色框是配置其他链接设置(代理、http认证)。
若上一步勾选了其他连接设置选项,则配置向导增加一个代理、http认证配置页面。
登陆管理
进入“登陆管理”页面,此页面记录登陆序列,为后面的扫描记录登陆凭证。共有4种登陆方法。
记录
自动
提示
无
“记录”方式,Appscan安装后会有两个内置的浏览器,IE和Chromium,记录登陆方式时可以选择这2个内置的浏览器(推荐),也可选择外部浏览器或外部设备。外部设备后面会做介绍。
选择内置浏览器记录时,会自动跳转至系统登陆页面,输入用户名密码登陆系统,此时会自动记录输入的身份认证信息。
登陆成功后点击“我已登录到站点”,页面开始自动播放并验证登陆信息。
注意:这里的播放会进行二次登陆验证,此时cookie信息会刷新,但是HTTP请求头仍是第一次记录的请求头,工具会把第一次记录的请求头当作固定值,这时如果我们设置了CSRF的token验证的话,则记录不通过。
若验证通过则显示“已成功配置登陆”,后面扫描的时候就以此次记录的登陆序列为准。
自动登陆
自动登陆时需要直接输入用户名和密码,后续扫描时直接使用这里的用户名密码。
提示登陆
这种方法只需要记录第一次登陆信息
注意:只记录第一次登陆信息,后续扫描时不会使用此次记录的登陆信息。每当扫描过程中遇到需要登陆或认证的URL,系统会跳转至登陆页面,手动输入用户名密码登陆成功后才可继续扫描。