web 安全测试工具——appscan

1. 介绍

AppScan，即 AppScan standard edition。其安装在 Windows 操作系统上，可以对网站等 Web 应用进行自动化的应用安全扫描和测试。是 IBM公司的web扫描工具，对网站等WEB应用进行自动化的应用安全扫描和测试。

通过“探索”功能，利用HTTP Request和Response的内容，爬行出指定网站的整个Web应用结构
AppScan本身有一个内置的漏洞扫描的规则库，可随版本进行更新。从探索出的url中，修改参数or目录名等方式，构造不同的url对照组向服务器发送请求or攻击
根据HTTP Response返回的内容，和正常请求所返回的响应作对比，是否产生差异性，而这种差异性又是否符合扫描规则库的设定规则，以此来判断是否存在不同类型的安全漏洞
若APPScan可判断存在安全漏洞，则对这些漏洞的威胁风险给出说明，进行严重程度提示，并给出修复的建议和方法，以及漏洞发现的位置提示

直接点击即可开始安装

打开之后的界面：

这里显示无许可证

破解(这里使用的是吾爱破解的方法，但是没能成功)

在正式开始之前需要现将结果保存下来

然后就开始了：

appscan的规则是先爬虫后扫描

点击问题则会显示当前存在的问题

扫描完成之后将结果进行保存

在今年4月份的时候，由于chrome出现的V8引擎漏洞，这一漏洞出现导致了一列的攻击链：微信点击特定链接就中马，而其中在一公众号文章上看到了利该漏洞能够对appscan进行反制，但是我并没有复现成功该漏洞，而且其他人也没能复现成功。

反制(复现失败，真实性有待考证)