AppScan 9.0.3.5 是 IBM 出的一款Web应用安全扫描工具,专门用来找网站/系统的安全漏洞(比如SQL注入、XSS跨站脚本、弱密码等)。Eval是评估版,功能全但可能有时间限制,适合学习、测试或内部项目用。
它操作不算难,跟着步骤走,半小时就能跑出一份漏洞报告。
一、准备工作
下载并安装
安装包下载:https://pan.quark.cn/s/087ccb635af1
双击运行,一路点“下一步”,选安装位置(默认C盘也行,空间够就不动),最后点“完成”。
装完桌面会有快捷方式,双击打开。
确认目标网站
要有一个可访问的测试网站(比如自己搭的本地环境,或公司测试环境),别直接扫公网正式网站(可能违法或影响业务)。
确保网站能正常打开,没有强制登录(或你知道测试账号密码)。
二、新建扫描任务
打开 AppScan,点左上角“文件”→“新建”(或按
Ctrl+N)。在弹出的“扫描配置向导”里,选“Web应用程序扫描”(最常用),点“下一步”。
填目标URL
在“起始URL”框里输入要扫的网站地址(比如
http://test.com或http://192.168.1.100:8080)。点“下一步”,AppScan 会先“爬取”网站(自动点链接、抓页面),等进度条走完。
登录设置(如果有)
如果网站需要登录,选“需要登录”,然后:
点“记录”→ 在弹出的浏览器里输入账号密码登录,操作完关掉浏览器,AppScan 会记录登录过程。
或手动填登录表单的URL、用户名/密码字段名(适合复杂登录)。
不需要登录就选“无”,点“下一步”。
选择扫描类型
一般选“全面扫描”(会测很多漏洞类型),或“仅测试已知漏洞”(快但覆盖少)。
点“下一步”,给任务起个名字(比如“测试网站扫描-202401”),选保存位置,点“完成”。
三、开始扫描
回到主界面,在左侧“我的扫描”里找到刚建的任务,点“扫描”→“开始全面扫描”(或点绿色播放按钮)。
此时 AppScan 会先“重新爬取”网站,再逐个发“测试请求”找漏洞,进度条会显示“爬取中”“测试中”。
扫描时间看网站大小,小网站几分钟,大网站可能几十分钟,耐心等。
四、查看扫描结果
扫描完成后,右侧会显示漏洞列表,按“风险等级”排序(高/中/低/信息)。
点某个漏洞,下方会显示:
漏洞描述:比如“发现SQL注入漏洞,攻击者可获取数据库数据”。
请求/响应:显示触发漏洞的具体请求和服务器返回的结果。
修复建议:告诉你怎么改代码或配置来堵漏洞。
想导出报告?点顶部“报告”→“生成报告”,选格式(HTML/PDF/Word),保存到本地就能发给开发或领导看。
五、停止或暂停扫描
想中途停:点顶部“扫描”→“停止扫描”(或红色方块按钮)。
暂停:点“暂停扫描”,之后可以继续(适合临时有事离开)。
