1.appscan是一个web应用安全测试工具。

2.web攻击的类型比如：
●跨站脚本攻击：为了搜集用户信息，攻击者通常会在有漏洞的程序中插
入 JavaScript、VBScript、 ActiveX或Flash以欺骗用户，达到盗取用
户帐户，修改用户设置，盗取/污染cookie，做虚假广告等目的。

如注入
一个JavaScript弹出式的警告框：alert(1)
●消息泄露：web应用程序在处理用户错误请求时，程序在抛出异常的时候
给出了比较详细的内部错误信息，而暴露了不应该显示的执行细节，如
文件路径、数据库信息、中间件信息、ip地址等
●SQL注入：将SQL命令人为地输入到URL、表格域、或者其他动态生成的
SQL查询语句的输入中，完成SQL攻击。

以达到绕过认证、添加、删除、修改数据等目的。

如sql查询代码为：
strSQL = "SELECT * FROM users WHERE (name = '"+ us
erName + "') and (pw = '"+ passWord+"');"
改为：
strSQL = "SELECT * FROM users WHERE (name = '1' OR
'1'='1') and (pw = '1' OR '1'='1');"
达到无账号密码，亦可登录网站。

3.appscan使用步骤：总的来说，就是指定要扫描的URL－选择测试策略－执行
扫描探索－执行测试－结果分析。

1)选择测试策略，文件－新建－选择一个模板“常规扫描”
2)出现扫描配置向导页面，这里是选择“AppScan(自动或手动)“，如图：
3)输入扫描项目目标URL，如果只想扫描指定URL目录下链接的话把“仅扫
描此目录中或目录下的链接”勾选上。

4)点击”下一步“，选择认证模式，出现登录管理的页面，这是因为对于
大部分网站，需要用户名和密码登录进去才可以查看许多内容，未登录的情况下就只可以访问部分页面。

这里我选择的第一个，需要点击右边的记录进入浏览器手动登录，让它记录下这个登录信息。

5)点击”下一步“，出现测试策略的页面，可以根据不同的测试需求进行
选择，这里的测试策略，先选一个缺省值练练，侵入式慎选。

因为侵入式用例里可能有尝试关闭数据库的用例，如果执行通过搞不好会导致系统就瘫痪！
缺省值具体是包括哪些，可点击配置查看如下图
6)点击”下一步“，出现完成配置向导的界面，这里使用默认配置，可根
据需求更改，如下图：
7)点击”完成“，设置保存路径，即开始扫描，可以让自动扫描，也可以
手动探索。

8)打扫完以后就执行测试，选择扫描－仅测试
9)测试完成后，查看测试结果，列表出了不同级别的问题，还有修订建议
等
另外：这里测试web默认选择第一个，如果选择“外部设备/客户机的话，可以把appscan当成抓包工具用。

需要在工具－选项，里配置如下图，配置代理的端口号添加手机的ip
为白名单。

手机上设置http代理为所连接的电脑ip，端口号为这里设
置的端口号。