Question

如何使用AppScan扫描大型网站

Answer 1

N久没有写技术文章了，改之，来篇连载的，呵呵，大纲先附上。 经常听到抱怨，说AppScan无法扫描大型的网站，或者是扫描接近完成时候无法保存，甚至保存后的结果文件下次无法打开?；同时大家又都很奇怪，作为一款业界出名的工具，是配置使用不当还是？我们就一起来讨论下AppScan扫描大型网站会遇到的问题以及应对。 AppScan工作原理和网站规模讨论 工欲善其事，必先利其器，先了解AppScan原理开始：1)网站规模2)AppScan的工作原理3)扫描规模：AppScan的扫描能力收到哪些因素的影响？好的，对AppScan工具和网站的特点有了了解以后，我们来讨论如何更有效地使用AppScan来进行安全扫描，特别是扫描大型网站？使用AppScan来进行扫描我们按照PDCA的方法论来进行规划和讨论； 建议的AppScan使用步骤：PDCA: Plan,Do,check, Action and Analysis.不去考究A是action还是Analysis了，我习惯理解为Analysis,前面都Do了，这里就更要分析和总结。 计划阶段：明确目的，进行策略性的选择和任务分解。1) 明确目的：选择合适的扫描策略2) 了解对象：首先进行探索，了解网站结构和规模3) 确定策略：进行对应的配置a) 按照目录进行扫描任务的分解b) 按照扫描策略进行扫描任务的分解 执行阶段：一边扫描一遍观察4)进行扫描5) 先爬后扫（继续仅测试）检查阶段（Check）6) 检查和调整配置结果分析(Analysis)7)对比结果8) 汇总结果（整合和过滤）其他常见的AppScan配置：1) 扫描保存的间隔时间2)内存使用量3)临时文件的保存路径