AppScan 9.0.3.5 是 IBM 出的一款Web应用安全扫描工具,专门用来找网站/系统的安全漏洞(比如SQL注入、XSS跨站脚本、弱密码等)。Eval是评估版,功能全但可能有时间限制,适合学习、测试或内部项目用。
它操作不算难,跟着步骤走,半小时就能跑出一份漏洞报告。
一、准备工作
下载并安装
- 安装包下载:https://pan.quark.cn/s/087ccb635af1
- 双击运行,一路点“下一步”,选安装位置(默认C盘也行,空间够就不动),最后点“完成”。
- 装完桌面会有快捷方式,双击打开。
确认目标网站
- 要有一个可访问的测试网站(比如自己搭的本地环境,或公司测试环境),别直接扫公网正式网站(可能违法或影响业务)。
- 确保网站能正常打开,没有强制登录(或你知道测试账号密码)。
二、新建扫描任务
打开 AppScan,点左上角 “文件”→“新建” (或按
Ctrl+N)。在弹出的“扫描配置向导”里,选 “Web应用程序扫描” (最常用),点“下一步”。
填目标URL
- 在“起始URL”框里输入要扫的网站地址(比如
http://test.com或http://192.168.1.100:8080)。 - 点“下一步”,AppScan 会先“爬取”网站(自动点链接、抓页面),等进度条走完。
- 在“起始URL”框里输入要扫的网站地址(比如
登录设置(如果有)
如果网站需要登录,选“需要登录”,然后:
- 点“记录”→ 在弹出的浏览器里输入账号密码登录,操作完关掉浏览器,AppScan 会记录登录过程。
- 或手动填登录表单的URL、用户名/密码字段名(适合复杂登录)。
不需要登录就选“无”,点“下一步”。
选择扫描类型
- 一般选 “全面扫描” (会测很多漏洞类型),或“仅测试已知漏洞”(快但覆盖少)。
- 点“下一步”,给任务起个名字(比如“测试网站扫描-202401”),选保存位置,点“完成”。
三、开始扫描
- 回到主界面,在左侧“我的扫描”里找到刚建的任务,点 “扫描”→“开始全面扫描” (或点绿色播放按钮)。
- 此时 AppScan 会先“重新爬取”网站,再逐个发“测试请求”找漏洞,进度条会显示“爬取中”“测试中”。
- 扫描时间看网站大小,小网站几分钟,大网站可能几十分钟,耐心等。
四、查看扫描结果
扫描完成后,右侧会显示漏洞列表,按“风险等级”排序(高/中/低/信息)。
点某个漏洞,下方会显示:
- 漏洞描述:比如“发现SQL注入漏洞,攻击者可获取数据库数据”。
- 请求/响应:显示触发漏洞的具体请求和服务器返回的结果。
- 修复建议:告诉你怎么改代码或配置来堵漏洞。
想导出报告?点顶部 “报告”→“生成报告” ,选格式(HTML/PDF/Word),保存到本地就能发给开发或领导看。
五、停止或暂停扫描
- 想中途停:点顶部 “扫描”→“停止扫描” (或红色方块按钮)。
- 暂停:点“暂停扫描”,之后可以继续(适合临时有事离开)。
