2023年6月30日发(作者：)

（⼆）AppScan使⽤教程 1.新建扫描：⼀般选择 常规扫描2.选择扫描的平台：web或app3.扫描配置向导①配置URL和服务器

②配置登录管理在扫描的过程中，可能会不⼩⼼碰到退出按钮导致Appscan注销.因此,要登陆到应⽤程序中,我们需要根据需求设置。在测试的web没有验证码情况下，可以使⽤（1和3种登陆⽅法）在web有验证码情况下，可以使⽤第⼆种登陆⽅法。推荐使⽤第⼀种⽅法。

记录:选择此项后,会出现⼀个新的浏览器，并尝试链接到指定的⽹站作为本扫描的起始URL.你需要输⼊账号和密码登陆到应⽤程序.这样设置之后你可以关闭浏览器，但是不要点击注销按钮。有时候你会发现打开的浏览器不是IE或者Mozilla，⽽是Appscan浏览器.你可以改变通过设置来改变这个。⼯具-->Options -->Advanced,设置OpenIEBrower的值0--Appscan浏览器,1--IE,2--Firefox,3--Chrome.如果该⽹站的⾏为在不同的浏览器下有所不同,这个设置将是⾮常有⽤的.提⽰：每次注销之后,Appscan会提⽰你登陆到应⽤程序中.如果你打算整个扫描你的系统，你可以选择这个选项。⾃动：在这⾥可以直接指定⽤户名和密码,当需要登陆到应⽤程序的时候。 在浏览器打开的界⾯（需扫描的web）上输⼊⽤户名和密码后，点击系统的登录按钮。如果登录成功，可点击【我已登录到站点】。appscan会开始分析登录操作，若成功记录下登录操作，会执⾏注销操作。appscan执⾏完注销操作后，会回到配置向导界⾯：有标志，说明已记录成功。【注意】Appscan使⽤外部浏览器的问题。⽬前只⽀持IE、Firefox、Chrome三款浏览器。9.0.1.1版本中在⼯具-选项-扫描选项中可以找到。早期版本在⼯具-选项-⾼级⾥有个OpenExternalBrowser这个参数 1为IE、2为⽕狐、3是Chrome。【验证登录】⽤登录接⼝返回的内容进⾏会话验证

验证通过：

③测试策略扫描期间，AppScan® 发送的测试数量可以达到数千。有时，最好将扫描限制在仅扫描特定类型，以减少扫描时间。这是“测试策略”。⼏种测试策略说明：缺省值：包含多有测试，但不包含侵⼊式和端⼝侦听器仅应⽤程序：包含所有应⽤程序级别的测试，但不包含侵⼊式和端⼝侦听器仅基础结构：包含所有基础结构级别的测试，但不包含侵⼊式和端⼝侦听器侵⼊式：包含所有侵⼊式测试（可能影响服务器稳定性的测试）完成：该策略包含所有 AppScan 测试，但端⼝侦听器测试除外。关键的少数：包含⼀些成功可能性较⾼的测试精选，在时间有限时对站点评估可能有⽤开发者精要：包含⼀些成功可能性极⾼的应⽤程序测试的精选，在时间有限时对站点评估可能有⽤仅第三⽅：该策略包含所有第三⽅级别测试，但侵⼊式和端⼝侦听器测试除外。⽣产站点：此策略“排除”可能损坏站点的侵⼊式测试，或测试可能导致“拒绝服务”的其他⽤户。Web Services：该策略包含所有 SOAP 相关的⾮侵⼊式测试。

选择合适的策略后，点击【下⼀步】

④完成选择--启动全⾯⾃动扫描，点击【完成】按钮。4.启动扫描专家扫描专家会先⼤致的探索被测⽹站，提出建议，以更好的扫描应⽤程序。

扫描专家建议：

可⼿动配置环境：提⾼性能和准确性。

5.开始测试应⽤扫描专家的建议后，整个扫描就开始了。系统先会扫描⼤致的⽹站，了解所需测的页⾯、测试元素、发送请求数。扫描结束后，开始测试。

6.测试结束

7.⽣成测试报告

8.关于⼿动探索如果想要快速验证系统，可以采⽤⼿动探索⼀些重要的界⾯，填写表单的参数也会记录，会着重于探索的界⾯进⾏测试。如果是全部系统的探索，时间⽐较长，但是⽐较全⾯，对表单的验证不够详细