AppScan入门：安全测试实例与配置指南

AppScan安全测试实例提供了一个实用的入门教程，针对的是Web应用和Web服务的安全评估。本实例由朱晟和徐春梅编写，主要分为典型工作流程和具体的"欧索在线测评平台"测试案例。 典型工作流程： 1. 选择扫描模板: 从预设模板开始，这有助于快速定制扫描需求。 2. 配置向导: 选择扫描类型，如Web应用扫描或Web服务扫描。对于应用扫描，需输入起始URL和可选的手动登录指南；对于Web服务扫描，需要提供WSDL文件位置，并可能涉及到用户输入和回复的自动化探测。 3. 扫描专家检查：通过扫描专家功能，评估配置效果，根据提示调整设置。 4. 开始扫描：自动执行扫描，可能涉及手工扫描未发现的链接。 5. 检查与报告：查看扫描结果，打印报告，并分析扫描出的问题，进行必要的纠正工作。 安全测试实例——“欧索在线测评平台”： 1. 扫描配置向导： - 输入URL：如 <http://172.17.100.184:10001/o>te.os - 考虑起始URL的正确性，可通过AppScan浏览器验证。 - 区分大小写路径：若应用中有大小写敏感的链接，需勾选相应选项。 - 添加其他服务器和域：如果扫描范围超出初始URL，确保所有相关服务器和域已包含在内。 - 代理设置：默认使用IE代理，若需其他代理，需勾选相应选项。 2. 扫描配置：选择记录模式，AppScan会模拟真实用户登录过程，填充表单并执行操作。 在整个过程中，AppScan作为一款强大的安全测试工具，能够自动化检测应用程序中的漏洞，包括但不限于SQL注入、跨站脚本攻击等，同时提供详尽的报告，帮助开发团队及时修复安全问题。通过这个实例，学习者可以深入了解如何使用AppScan进行实际的安全测试，提升网络安全防护能力。