一、环境搭建1. 软件下载官网下载地址：https:///developerworks/cn/downloads/r/appscan/破解版下载地址：/s/1dFFti85密码：u7z32. 软件安装直接运行安装包，按照提示安装即可3. 软件破解将破解补丁替换“..\..\IBM\AppScan Standard”安装目录下同名文件二、测试流程以下内容以appscan9.0为例1. 启动appscan点击运行appscan.exe即可2. 创建扫描1)在欢迎页面选择->创建新的扫描…，打开新建扫描面板，如下图：2)9.0没有综合扫描模板，一般选择常规扫描模板，选择模板后打开扫描配置面板，如下图：3)在扫描向导中选择扫描类型，一般选择web应用程序扫描；若要选择web service扫描，需安装GSC；除了按照提示一步步操作，也可以点击右下角完全扫描配置进行扫描配置（具体可参照二.3）；选择完扫描类型后，点击下一步打开配置URL和服务器面板，如下图：4)起始URL中输入要扫描的站点，可以是域名格式，也可以是IP格式；如果勾选了“仅扫描此目录中或目录下的链接”，则会只扫描起始URL目录或者子目录中的链接；区分大小写的路径：如果选中，则大小写不同的链接会被视为两个页面，如A.apsx和a.spsx；建议linux或UNIX服务器时勾选，windows服务器时不勾选；其他服务器和域：如果应用程序包含的服务器或域不同于“起始URL”包含的服务器或域，则应该添加到此处，如和二级域不同；我需要配置其他连接设置：缺省情况下，AppScan 会使用Internet Explorer 代理设置，默认不勾选，若勾选，点击下一步会打开配置代理页面；配置完成后，点击下一步打开登录管理面板，如下图：5)登录管理提供4种选项：a)记录：推荐使用，选择此项，appscan将使用所记录的登录过程，从而像实际用户一样填写字段。

单击记录按钮，打开自带浏览器记录登录过程，登录完成后关闭浏览器，会自动将登录过程列出。

b)提示：如果每次登录都需要人机交互，请选择该选项。

您必须仍然记录登录过程。

虽然AppScan 将不会使用您记录的过程来尝试登录，但是它需要将该过程作为参考来了解何时已被注销。

c)自动登录：如果AppScan 可仅使用名称和密码来登录，而不需要特定的过程，请选择该选项，然后输入“用户名”和“密码”。

d)不登录：仅当应用程序不需要登录时，或因为其他原因，您不想AppScan 登录时，才选择该选项。

若账号密码错误，会提示：回话页面未识别，需修改登录管理方式或登录账号密码如果选中我想要配置会话中检测选项复选框，那么在单击下一步时，将会打开一个附加的向导步骤：登录管理：“其他”设置。

默认不选中。

登录管理配置完成后，点击下一步，打开测试策略面板，如下图：a.发送登录和注销页面上的测试：缺省情况下，AppScan 将测试登录和注销页面以及应用程序的其余部分。

您应该保持该缺省配置，除非：您的应用程序具有安全保护，可阻止在这些页面上提供非法输入的用户，或如果测试这些页面，您的应用程序流程会改变如果不确定您的应用程序会如何响应这些测试，那么请保持选定该选项。

b.在测试登录页面时不发送会话标识：（该复选框仅当选中了先前复选框时才会处于活动状态并缺省选中。

）建议将此复选框保留为选中状态，因为测试登录页面时会话标识可能会导致测试不成功。

仅当您确定需要有效会话令牌来测试登录页面时，才应清除该复选框。

如果不确定您的应用程序会如何响应，那么请保持选定该选项。

完成测试策略配置后，点击下一步将打开完成配置面板，如下图：7)完成配置面板可供选择启动扫描的方式如下：a.启动全面自动扫描：启动应用程序的全面扫描（“探索”后将立即进行“测试”）。

b.使用仅自动“探索”来启动：探索应用程序，但不继续“测试”阶段。

（可以稍后运行“测试”阶段）。

c.使用手动探索来启动：浏览器将打开，并且您可以通过单击链接并填写字段来手动探索站点。

AppScan® 将记录结果，以便在“测试”阶段使用。

d.我将稍后启动扫描：关闭向导，不启动扫描。

下次启动扫描时，会使用该模板。

e.完成扫描配置后启动扫描专家：如果想要在启动主扫描之前让扫描专家来评估配置，请选中此复选框。

扫描专家会登录应用程序并执行简短、初步的扫描，以评估已配置的设置。

如果需要，会建议更改配置。

8)点击完成按钮，appscan会按照配置内容开始扫描应用程序。

3. 完全扫描配置1)URL和服务器：与创建扫描时一致2)登录管理：与创建扫描时一致3)环境定义：包括操作系统、web服务器、应用程序服务器、数据库类型、第三方组件、站点位置、站点类型、部署方法、潜在间接损害、目标分布、可用性需求、机密性需求、完整性需求。

环境定义并不重要，选择以后，可以使扫描避免无效测试，提高效率4)排除路径和文件：通过配置，扫描程序时会忽略应用程序中的某些路径或文件的特定类型，一般默认即可。

5)探索选项：包括扫描限制、javascript和flash、探索方法、编码、用户代理程序；扫描限制：确定appscan探索应用程序的深度，包括冗余路径限制、单击深度限制、总页面限制，勾选后超过数目则不进行扫描；Javascript：确定appscan探索还是忽略javascript脚本，包括解析JavaScript代码以发现URL、执行JavaScript来发现URL和动态内容、重放登录时执行JavaScript。

前两个勾选后appscan会分析扫描javascript脚本；如果应用程序的登录页面使用JavaScript代码，那么必须选中第三个才能使AppScan可以在扫描期间进行登录。

Flash：确定appscan探索还是忽略flash脚本，包括解析Flash以发现URL、执行Flash 文件以发现潜在漏洞。

这两个都勾选后appscan会分析扫描javascript脚本。

探索方法：确定appscan探索时是以宽度优先还是深度优先：宽度优先是指逐页探索，在继续下一页面前探索一个页面上的所有链接，推荐选择这个。

深度优先是指按照链接逐一探索，并在它找到新链接时对每个新链接进行探索。

编码：AppScan 通常会自动检测应用程序的编码方法，因此缺省情况下会选中自动检测。

如果扫描结果中的响应内容似乎失真，那么这可能意味着未正确识别编码方法。

要解决此问题，请从下拉列表中选择正确的编码方法。

用户代理程序：AppScan 通常会自动检测用户代理程序，但是，如果您使用的浏览器不是内置浏览器，且不记录登录过程、多步骤操作或手动探索，AppScan 将无法进行自动检测，因此您必须手动选择用户代理程序。

6)参数和cookie：此视图用于管理三项主要功能：向特定参数和cookie指定特殊处理；定义具有AppScan®可能无法自行识别的特殊格式的参数和cookie；控制对参数和cookie的缺省处理（“冗余调整”）“参数和cookie”选项卡：使您能够查看、添加、编辑和删除全局参数。

例如，您的应用程序可能具有某些特定的参数和cookie，而您不希望AppScan在测试期间操纵它们的值。

要确保AppScan没有更改这些参数和cookie，请从测试中排除。

例如，如果某些cookie或参数的值被更改，那么您的应用程序可能会锁定某个用户会话。

您应该将这些参数从控制中排除。

如果您没有将其排除，AppScan可能无法成功完成扫描，因为这些cookie会将AppScan锁定到应用程序之外。

在“探索”阶段中，AppScan会自动检测到可能是会话标识的cookie和HTML参数，并将其添加到此选项卡中的列表。

您可手动添加知道是会话标识的cookie和参数。

注：通过隐藏/显示模板项按钮，可以过滤掉源于扫描模板中的但可能与当前扫描无关的项。

高级：“定制参数”选项卡：使您能够添加、编辑和删除具有AppScan 可能无法正确识别的定制格式的参数。

冗余调整缺省值：通过此链接，可以访问和编辑应用于所有参数的缺省冗余调整（无论是由AppScan 发现还是由用户定义的）。

注：更改单独参数的特定冗余调整在参数定义过程中完成。

更改为缺省值并不追溯性地应用到已定义的参数。

必须对每个参数都手动完成该操作。

7)自动表单填充：指AppScan填写应用程序中的表单所使用的值。

其中许多表单都存在缺省值，并且这些值会自动更新以包含在记录登录期间输入的任何值。

可以查看、添加和编辑这些值。

8)错误页面：通过列表中的字符串、正则表达式和URL，识别错误页面。

如果将错误页面识别为正确页面，可能会影响测试结果。

9)多步骤操作：用于测试只能通过以特定顺序单击链接来访问的站点部分，如购物下单。

注：建议将多步骤操作的数量限制在五个，其中每个操作中的步骤数不超过25个，总步骤数不超过70个10)基于内容的结果：如果AppScan无法基于URL结构来定义应用程序树的逻辑结构，您可以使用此视图来执行此操作。

如果在站点内容的构造方式下，URL 反映类似文件夹的层次结构，那么扫描结果会自动反映这一层次结构，从而使其易于浏览。

如果站点使用“面包屑”或其他“基于内容”的导航方法，以便URL 不会指示用户在站点内的“位置”，那么建议您“教导”AppScan 站点是如何进行“逻辑”构造的，以便其可以用能够轻松理解的格式来呈现扫描结果，而不是在一个或两个URL 下列出冗长的结果。

这并非至关重要，但是将使您更轻松地浏览结果。

11)Glass box：在扫描时，此代理程序会监视服务器端的活动，收集源代码信息和其他数据。

这将使扫描变得更为快速和精确。

（具体可参照二.4）12)通信和代理：配置通信超时和代理服务器设置。

13)HTTP认证：如果应用程序需要，请添加服务器级别认证和客户机端证书。

14)测试策略：您可以：•查看当前策略的详细信息•编辑当前策略，以创建您自己的“用户定义的测试策略”•导入预定义策略，或先前保存的用户定义策略15)测试选项：允许您配置会影响扫描长度和完整性的各种设置。

但是，在大多数情况下，缺省设置就已足够了。

16)特权升级：使用不同的用户特权运行的扫描，比较不同用户级别的结果。

17)恶意软件：启用恶意软件测试后，AppScan将在扫描期间检查应用程序中是否存在指向恶意外部Web 站点的链接，需要互联网连接。

18)扫描专家：通过设置，可以决定扫描专家探索的详尽程度，配置更改是自动还是手动实施，以及评估中会包含配置的哪些“模块”。

19)结果专家：可运行一个或多个模块来处理扫描结果，并将其他信息显示在“详细信息”窗格的“问题信息”选项卡中。

20)高级配置：更改会影响特定扫描的高级注册表设置4. 启动扫描2)从“扫描”菜单或工具栏启动扫描全面扫描：运行全面扫描。