首先打開IBM Security AppScan Standard 工具

點擊 創(chuàng)建新的掃描 ->? 點擊”常規(guī)掃描“ ->之后你就會看到如下圖：

這里你可以直接點擊 ”下一步“ 或是點擊 ”完整掃描配置“,先點擊 ”完整掃描配置“URL 和服務(wù)器

1.在起始URL中輸入你要掃描的網(wǎng)站網(wǎng)址

2.你的系統(tǒng)中可能還包括其他的域名可以在這里添加，注意格式要求（不能直接輸入整個網(wǎng)址，可以使用fiddler4檢測工具 獲得系統(tǒng)所訪問的地址）點擊 登錄管理：如果的你系統(tǒng)剛開始要登錄的話這里要進行設(shè)置，如果不需要登錄直接選擇 選中” 無“ 即可。

需要登錄的話? 鼠標(biāo)移到 ”登錄“按鈕后點擊上圖的 ”使用AppScan 瀏覽器“ 就會根據(jù)你的URL 打開登錄頁面，要你輸入賬號和密碼 ，當(dāng)?shù)卿洺晒簏c擊 ”我已登錄到站點“ 按鈕，這樣就會記錄你的登錄序列

記錄成功后，點擊 標(biāo)簽 ”詳細信息“ 可以查看到驗證的成果

環(huán)境定義 可以不進行更改 直接默認就好

排除路徑和文件有需要的排除的路徑和文件 可以在這里添加。（我之前掃描這個系統(tǒng)，有個路徑執(zhí)行saveOrUpdate操作，每次執(zhí)行到這類路徑，掃描就掃不動了，而且總是會session重復(fù)登錄，之后在這邊把它排除掉，掃描速度就提了好多。所以對于那些無關(guān)緊要的網(wǎng)址可以在這邊排除掉）

探索選項? 要適當(dāng)進行修改

Glass Box

連接-通信 和代理

其他的一般情況 就不需要進行設(shè)置了，默認就好了。 設(shè)置完后你可以導(dǎo)出為模板，以便下次使用。確定按鈕 后 又返回到下圖：

因為你之前以及設(shè)置過了，所以一直點 ”下一步“，

點擊

完成 后 如果勾選了 掃描專家 ，會先啟動 掃描專家 進行掃描優(yōu)化直接進入掃描了。

如上圖： AppScan 的掃描 分三類：完全掃描 、僅探索、僅測試

如果系統(tǒng)需要掃描的頁面或是元素較少 可以直接選中 完全掃描（其實就是探索和測試一條龍服務(wù)），

如果頁面需要掃描的頁面和元素比較多時，可以分開來，先探索，探索完成后再進行測試。

探索也就是 掃描出整個系統(tǒng)的基本結(jié)構(gòu)和頁面。

測試 就是根據(jù)你所配置的信息 如測試策略、深度等等 對頁面中的元素進行測試 從而得出安全性問題。

如果只是對系統(tǒng)中某個模板進行 掃描的話，可以 通過 ”手動探索“ 獲取需要掃描的指定頁面 。

在頁面中 點擊到你需要測試的模塊頁面，后單擊 ”暫停記錄“ 按鈕 后關(guān)閉頁面。

之后就會打開下面的對話框，里面的url 就是是手動點擊頁面的 所包含的url連接。

掃描完成后可以 生成各種類型的 掃描報告，這個還是不錯的，不然要自己去寫就太坑了。

掃描的頁面還有許多有用的功能，以及很有幫助的設(shè)置，可以去網(wǎng)上查找。

掃描的結(jié)果截屏：