Rational AppScan 是灵活的、精确的、有效率的 Web 应用程序安全评估工具。使用 AppScan,可以在黑客之前识别 Web 站点中的漏洞
  关于版本:从网上第一开始下载了9.0版本,安装了之后发现有些功能(如登录管理)受限,是演示版的许可证。
  后还是安装的7.8版本,用的旧许可证,但用着还行,不求新,但求能为所用。
  这是这两天自学的所得,记录下来,以备后用。
  1、登录管理
  在使用APPSCAN扫描的时候,若有些页面需要登录才能访问到,要使用此配置。
  推荐使用“记录”,看说明书上“提示”也是可以正常使用的,但亲自实践了太不好用。
  在新建一次扫描时,只能录一次登录,若需要多种不同角色用户登录,建议建立 多个扫描。
  2、录制”登录“
  在选择了上面的”记录“登录后,APPSCAN会打开 自带的浏览器,要求用户录入登录操作。
  录入步骤完成后,关闭浏览器,会在登录序列列表中显示所做的操作。
  3、“会话中”模式测试
  录制”登录“步骤结束后,选择此选项,进入下一页,会显示所有步骤及类型。
  一般说来,第一个 URL 应该是“常规”,中间的是“登录”,成功登录后,后一个应该是“会话中”。(只有一个响应可以是“会话中”)
  如果在已记录的序列中有不必要的步骤,那么您可以删除不属于序列部分的 URL,并按照需要更改列表中 URL 的“类型”设置。
  “会话中 URL”(只能有一个)显示在会话中检测字段,用于识别“会话中响应”模式(AppScan 可在扫描期间用来验证其仍为登录状态的模式或字符串)。
  要使APPSCAN识别”会话中“模式,需要选择可捕获的内容信息,并确定,系统会自动生成正则表达式。
  4、多步操作
  “配置”对话框的“多步操作”在应用程序某些部分只能通过按特定顺序发送请求才能到达的情况下使用。
  例如,考虑用户按以下顺序访问页面来进行在线购物的情况:
  第 1 页:用户添加一项或多项到购物车中
  第 2 页:用户填写付款和装运详细信息
  第 3 页:用户接收确认,表明订购完成
  只有通过第 1 页才能到达第 2 页。只有通过第 1 页然后是第 2 页才能到达第 3 页。这是一个序列。为能够测试第 2 页和第 3 页,AppScan 必须在进行各测试之前发送正确的 HTTP 请求序列。
  在上述示例情况下,将会记录单一序列:第 1 页 > 第 2 页 > 第 3 页。AppScan 会按照要求从此序列中抽取必要的子序列。(当测试第 2 页时,将会首先发送第 1 页请求;当测试第 3 页时,将会发送第 1 页请求,然后是第 2 页请求。)
  通过“多步操作”视图,可以记录和管理一个或多个此类序列。