IBM Rational AppScan是业界领先的 Web 应用安全检测工具,提供了扫描、报告和修复建议等功能。IBM Rational AppScan该产品是一个领先的Web应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site s cripting)、缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。
基本简介
扫描就是Rational AppScan 对站点进行测试以发现安全漏洞的过程,首先它会对站点进行一次 Explore(其行为与网络爬虫类似)过程,从某一起始 URL 开始通过页面间的链接不断探索,直到站点的所有页面都被访问或者达到某设定的最大值。
在 Explore 的同时,AppScan 会分析每一个发现的页面并确定是否需要对其进行测试。如果需要,AppScan 将根据设定的测试策略(后面章节有对测试策略的详细介绍)为其创建测试用例,测试用例的数量由测试策略包含的规则集决定。Explore 完成后,AppScan 将根据 测试用例对站点进行测试并分析站点的响应信息以发现安全缺陷。
AppScan 引入了 扫描工程 的概念对安全扫描进行管理,通过 扫描工程 用户可以配置各种参数、保存扫描结果等.
使用方法
AppScan8.0使用方法:
1.将patch.exe文件当到APPSCAN的安装目录下,运行。
2.运行keygen.exe,生成l
ince.lic文件。
3.打开APPSCAN,帮助-》许可证-》装入旧格式(.lic)的许可证,将刚才生成的.lic文件装载。
