appscan教程

格式：ppt
大小：2.56 MB
文档页数：26

下载文档原格式

AppScan扫描教程

AppScan扫描教程
1.打开appscan,创建新的扫描
2.选择常规扫描，下⾯就按照图⽰做就好了
3.选择⼀种策略，下⼀步
测试策略说明：
①缺省值：包含多有测试，但不包含侵⼊式和端⼝侦听器
②仅应⽤程序：包含所有应⽤程序级别的测试，但不包含侵⼊式和端⼝侦听器
③仅基础结构：包含所有基础结构级别的测试，但不包含侵⼊式和端⼝侦听器
④侵⼊式：包含所有侵⼊式测试（可能影响服务器稳定性的测试）
⑤完成：包含所有的AppScan测试
⑥关键的少数：包含⼀些成功可能性较⾼的测试精选，在时间有限时对站点评估可能有⽤
⑦开发者精要：包含⼀些成功可能性极⾼的应⽤程序测试的精选，在时间有限时对站点评估可能有⽤
4.启动全⾯⾃动扫描
5. 选择是，选择⼀个保存的路径
6.开始扫描中
7.扫描完成，获得扫描结果（⾃⼰做的咋没有呢，摘抄⼀下⽹友的截图）
8.在扫描菜单栏中选择扫描配置，弹出扫描配置对话框，
在环境定义⾥选择测试系统的需要的配置，点击应⽤当前结果
点击启动，关闭，确定
9.进⾏继续完全扫描
10.等待扫描完成，查看扫描出的漏洞，修订的意见（这⾥扫描好慢啊，就先截个图吧）。

AppScan使用指导书

AppScan操作手册
CCII/TI-06
AppScan版本：9.0
编制人：王雷
审核人：张莹
发布时间：2018年3月11日
一、打开AppScan软件，点击工具栏上的文件–> 新建，出现一个dialog，如图所示：
这里写图片描述
二、点击“Regular Scan”，出现扫描配置向导页面，这里是选择“Web应用程序扫描“，如图：
这里写图片描述
三、点击”下一步“，出现URL和服务器的配置页面，如图，输入需要测试的URL。

这里写图片描述
四、点击”下一步“，出现登录管理的页面，这是因为对于大部分网站，需要用户名和密码登录进去才可以查看许多内容，未登录的情况下就只可以访问部分页面。

这里写图片描述
这里选择使用的登录方法是自动，即需要输入用户名和密码。

如果选择的是记录，则需要对登录过程进行录入，在录入的过程中，appscan可以记住一些url，方便进行扫描。

五、点击”下一步“，出现测试策略的页面，可以根据不同的测试需求进行选择，这里选择的是”完成（Complete）“，即进行全面的测试，
这里写图片描述
六、点击”下一步“，出现完成配置向导的界面，这里使用默认配置，可根据需求更改，如下图：
这里写图片描述
七、点击”完成“，设置保存路径，即开始扫描，如下图：
这里写图片描述
八、待扫描专家分析完毕，点击”扫描–> 继续完全扫描“即可。

这里写图片描述
九、等待测试完毕，即可分析结果。

如何有效的使用AppScan扫描大型网站

转载]如何更有效使用Rational AppScan 扫描大型网站Rational AppScan（简称AppScan）其实是一个产品家族，包括众多的应用安全扫描产品，从开发阶段的源代码扫描的AppScan source edition，到针对Web 应用进行快速扫描的AppScan standard edition，以及进行安全管理和汇总整合的AppScan enterprise Edition 等。

我们经常说的AppScan 就是指的桌面版本的AppScan，即AppScan standard edition。

其安装在Windows 操作系统上，可以对网站等Web 应用进行自动化的应用安全扫描和测试。

来张AppScan 的截图，用图表说话，更明确。

图 1. AppScan 标准版界面请注意右上角，单击“扫描”下面的小三角，可以出现如下的三个选型“继续完全扫描”、“继续仅探索”、“继续仅测试”，有木有？什么意思？理解了这个地方，就理解了AppScan 的工作原理，我们慢慢展开：还没有正式开始安全测试之前，所以先不管“继续”，直接来讨论“完全扫描”，“仅探索”，“仅测试”三个名词：AppScan 三个核心要素AppScan 是对网站等Web 应用进行安全攻击来检查网站是否存在安全漏洞；既然是攻击，需要有明确的攻击对象吧，比如北约现在的对象就是卡扎菲上校还有他的军队。

对网站来说，一个网站存在的页面，可能成千上万。

每个页面也都可能存在多个字段（参数），比如一个登陆界面，至少要输入用户名和密码吧，这就是一个页面存在两个字段，你提交了用户名密码等登陆信息，网站总要有地方接受并且检查是否正确吧，这就可能存在一个新的检查页面。

这里的每个页面的每个参数都可能存在安全漏洞，所有都是被攻击对象，都需要来检查。

这就存在一个问题，我们来负责来检查一个网站的安全性，这个网站有多少个页面，有多少个参数，页面之间如何跳转，我们可能并不明确，如何知道这些信息？看起来很复杂，盘根错节；那就更需要找到那个线索，提纲挈领；想一想，访问一个网站的时候，我们需要知道的最重要的信息是哪个？网站主页地址吧？从网站地址开始，很多其他频道，其他页面都可以链接过去，对不对，那么可不可以有种技术，告诉了它网站的入口地址，然后它“顺藤摸瓜”，找出其他的网页和页面参数？OK，这就是“爬虫”技术，具体说，是“网站爬虫”，其利用了网页的请求都是用http 协议发送的，发送和返回的内容都是统一的语言HTML，那么对HTML 语言进行分析，找到里面的参数和链接，纪录并继续发送之，最终，找到了这个网站的众多的页面和目录。

appscan使用教程

appscan使用教程AppScan 使用教程AppScan 是一款常用的Web应用程序安全扫描工具，它可以帮助开发者识别和修复应用程序中的安全漏洞。

下面是一份简要的AppScan使用教程，旨在帮助您开始使用该工具：1. 下载并安装AppScan：首先，您需要从IBM官方网站下载并安装AppScan。

确保您选择最新版本的工具，并按照安装向导进行操作。

2. 创建扫描任务：启动AppScan后，您将看到一个主界面。

点击“新建扫描任务”按钮，然后输入任务名称和说明。

您还可以选择扫描的目标URL和目标平台（如Web应用程序、移动应用程序等）。

3. 配置扫描设置：在创建任务后，您可以进一步配置扫描设置。

这包括选择使用的扫描引擎、设置并发连接数、定义登录信息、配置扫描速度等。

4. 开始扫描：完成配置后，点击“开始扫描”按钮开始执行扫描任务。

AppScan将开始自动扫描目标应用程序，发现潜在的漏洞和薄弱点。

5. 查看扫描结果：一旦扫描完成，您可以在AppScan中查看扫描结果。

该结果将包含发现的漏洞、详细的漏洞报告、漏洞等级和修复建议。

6. 修复漏洞：根据扫描结果，您可以开始修复发现的安全漏洞。

这可能包括修复代码中的漏洞、更新应用程序的配置和权限设置等。

7. 导出报告：将扫描结果导出为报告以供后续参考。

AppScan提供了多种报告格式，如PDF、HTML、Excel等。

请注意，这只是一个简要的教程，并不能覆盖AppScan的所有功能和细节。

根据您的具体需要，您可能需要深入学习和了解AppScan的其他特性和高级用法。

安全测试工具IBMRationalAppScan英文版使用详细说明（图文）

安全测试⼯具IBMRationalAppScan英⽂版使⽤详细说明（图⽂）本⽂由阿德马翻译⾃国外⽹站,尊重劳动成果,转载请注明出处,谢谢.本⽂将详细介绍Appscan功能选项设置的细节,适合E⽂⼀般,初次接触Appscan的童鞋参考阅读.Appscan是web应⽤程序渗透测试舞台上使⽤最⼴泛的⼯具之⼀.它是⼀个桌⾯应⽤程序，它有助于专业安全⼈员进⾏Web应⽤程序⾃动化脆弱性评估。

本⽂侧重于配置和使⽤Appcan，分析扫描结果将在下⼀篇⽂章中讨论.Appscan的主要特点:Appscan 8.5标准版有很多新的功能，其中⼤部分将在我下⾯的概要中涵盖：Flash⽀持： 8.0 Appscan相对早期的版本增加了flash⽀持功能，它可以探索和测试基于Adobe的Flex框架的应⽤程序，也⽀持AMF协议。

Glass box testing:：Glass box testing是Appscan中引⼊的⼀个新的功能.这个过程中，安装⼀个代理服务器,这有助于发现隐藏的URL和其它的问题。

Web服务扫描：Web服务扫描是Appscan中具有有效⾃动化⽀持的⼀个扫描功能。

Java脚本安全分析：Appscan中介绍了JavaScript安全性分析,分析抓取html页⾯漏洞，并允许⽤户专注于不同的客户端问题和DOM（⽂档对象模型）为基础的XSS问题。

报告：根据你的要求，可以⽣成所需格式的报告。

修复⽀持：对于确定的漏洞,程序提供了相关的漏洞描述和修复⽅案.可定制的扫描策略：Appscan配备⼀套⾃定义的扫描策略,你可以定制适合你需要的扫描策略。

⼯具⽀持：它有像认证测试，令牌分析器和HTTP请求编辑器等,⽅便⼿动测试漏洞.Ajax和Dojo框架的⽀持。

现在，让我们继续学习更多有关安装和使⽤Rati??onal AppScan扫描Web应⽤程序的过程。

Appscan的安装：要运⾏Appscan的系统⾄少需要2GB的RAM,同时确保安装了.net framwork和Adobe flash来执⾏扫描过程中的Flash内容。

AppScan使用手册

本人英语能力有限，如有错误请见谅。

——译者这个向导是AppScan 用户向导手册和AppScan 在线帮助的补充（fairyox）。

主要目的是为这个产品做介绍，如果需要更多的资料和详细的说明书请参阅用户手册和在线帮助1安装1.1 AppScan安装将AppScan 安装保存在计算机中，双击它，然后根据提示操作。

1.2注册文件安装AppScan 安装中包括一个允许扫描指定站点的注册文件（见章节1.4），但是不能扫描其他站点。

扫描其他站点需要得到IBM 授予的合法注册文件。

这样就可以扫描其他站点并读取和保存扫描模版，否则不能运行其他站点的扫描。

安装扫描文件：1. 打开AppScan2. 在帮助菜单选择License3. 如果已经有注册文件：点Load License File，找到注册文件，点Open。

或者在网上获得注册文件：确认连接好Internet 网，点Obtain License Online，然后根据提示操作4. 点ok 关闭注册对话框。

1.3升级IBM 每天升级AppScan 的应用弱点数据库。

每次AppScan 会自从从IBM 搜索、安装升级补丁。

用户也可以随时手动升级：打开AppScan，点击升级，根据提示操作。

1.4 AppScan的试用版如果您在使用AppScan 的试用版，注册文件只允许您对IBM Rational AppScan 定制的测试站点进行测试：AppScan下载：https:///securearea/appscan.aspxView Selector 视图选择选择三个按钮中的一个来选择三个窗口数据显示的类型。

Application Tree 应用树 AppScan 收集扫描结果时会把他们显示在应用树中；在扫描结束时应用树显示所有 AppScan 在应用中找到的文件夹、 URL 和文件。

Result List 结果列表显示应用树中被选节点有关的结果。

Detail Pane 细节显示结果列表中被选项的详细信息，在三个页面分别显示报告、建议和请求/响应。

安全测试工具appscan的安装与使用

一、为什么要有安全性测试？ 1.关于数据库。SQL盲注高手可能会通过盲注让数据库中的相关信息。 2.关于权限。不同身份的人有着不同的权限，如淘宝卖家和买家。如果不进行安全测试，可能会使买家跳出权限做卖家的事。
二、AppScan IBM Rational AppScan Standard Edition 是一种自动化 Web 应用程序安全性测试引擎，能够连续、自动地审查 Web 应用程序、测试安全性问题，并生成包含修订建议的行动报告，简化补救过程。在商业安全扫描工具中，提供简体中文支持的，目前也只有AppScan一个。
一个存在SQL注入点的页面在中输入site: inurl:login 关键字搜索得到后台的URL，如下图所示
进入后的页面
根据下图标注，可以猜出其大概SQL语句类似于
SELECT *FROM [users] where username=? AND password=?
下载：51testing
三、软件安装 1.可能需要联网下载必要的插件 2.基本可以按安装向导进行，需要注意的是最后安装完成后需要将安装包中的 ‚LicenseProvider.dll‛复制粘贴到appscan 安装路径‚..\..\IBM\AppScan Standard‛ 目录下同名文件，否则在使用时一直会提示安装许可证，导致软件无法正常使用
9.自动保存
10.软件界面
初步探测完成，接下来继续进行全报告‛会提供扫描期间发现的安全问题信息。我们可以通过最后的扫描结果和安全报告了解到存在的问题及问题介绍等信息。
一个检测SQL注入的工具：pangolin
注入往往是应用程序缺少对输入进行安全性检查所引起的，攻击者把一些包含指令的数据发送给解释器，解释器会把收到的数据转换成指令执行。常见的注入包括SQL注入， OS Shell，LDAP，Xpath，Hibernate等等，而其中SQL注入尤为常见。这种攻击所造成的后果往往很大，一般整个数据库的信息都能被读取或篡改，通过SQL注入，攻击者甚至能够获得更多的包括管理员的权限。

跟我学IBM AppScan Web安全检测工具——应用AppScan软件工具进行安全检测(第1部分)

1.1跟我学IBM AppScan Web安全检测工具——如何应用AppScan软件工具进行安全检测（第1部分）1.1.1新建和定义扫描配置1、新建一个新的扫描启动AppScan后可以在欢迎界面中点击“创建新的扫描”链接，或者选择“文件”菜单中的“新建”子菜单项目。

都将出现下面的“新建扫描”时所需要选择的模板对话框窗口，主要提供有如下类型的模板——常规扫描、快速且简单的扫描、综合扫描、基于参数的导航、WebSphereCommerce、WebSphere Portal、、Hacme Bank、WebGoat v5等。

当然，也可以在欢迎对话框界面中选中已经存在的扫描配置文件，从而重用原有的扫描配置结果。

将出现如下的加载信息可以在此配置文件的基础上继续检测或者显示出以前的检测结果信息。

2、应用某个扫描模板选择一个适合满足检测要求的扫描模板——在模板中包括已经定义好的扫描配置，选择一个模板后会出现配置向导——本示例选择“常规扫描”模板（使用默认模板）。

然后将出现下面的“扫描配置向导”对话框。

扫描配置向导是AppScan工具的核心部分，使用设置向导可以简化检测的配置过程。

目前，在本示例程序中没有下载安装“GSC Web Service记录器”组件，因此目前还不能对“Web Service”相关的程序进行扫描。

如果在Web应用系统中涉及Web Service，则需要下载安装“GSC Web Service记录器”组件。

在“扫描配置向导”对话框中选择扫描的类型，目前选择“Web应用程序扫描”类型选择项目。

然后再点击“下一步”按钮，将出现下面的“URL和服务器”界面。

3、定义URL和服务器在“URL和服务器”界面中，根据检测的需要进行相关的配置定义。

（1）Starting URL（扫描的起始网址）此功能指定要扫描的起始网址，在大多数情况下，这将是该网站的登陆页面或者Web 应用系统的首页面。

Rational AppScan 提供有测试站点（，而登录站点的用户名和密码为：jsmith / Demo1234），但本示例选择“http://XXX.XX.XX.XXX:3030/”（XX考勤系统）作为检测的起始网址，并选择“仅扫描此目录中或目录下的链接”的选择框，从而可以限制只扫描目标Web应用系统所在的工作目录下的各个链接。

appscan安装使用教程

APPScan安装与使用1、右键安装文件，以管理员身份运行，如下图所示：2、点击【确定】3、点击【安装】4、选择：我接受许可协议中单位全部条款，点击【下一步】5、点击【安装】到该目录6、如果需求扫描Web services点击【是】安装该插件，如果不需要点击【否】如果只是扫描web就不需要安装7、点击【完成】8、安装完成之后把LicenseProvider.dll文件将它复制放到安装目录下覆盖原来的二、使用步骤1、打开AppScan软件，点击工具栏上的文件–>新建，出现一个dialog2、点击“Regular Scan”，出现扫描配置向导页面，这里是选择“AppScan(自动或手动)“，如图：3、输入扫描项目目标URL4、点击”下一步“，选择认证模式，出现登录管理的页面，这是因为对于大部分网站，需要用户名和密码登录进去才可以查看许多内容，未登录的情况下就只可以访问部分页面。

【用于登录测试项目站点的用户名及密码,例如：用户名：admni密码“12345】5、点击”下一步“，出现测试策略的页面，可以根据不同的测试需求进行选择6、点击”下一步“，出现完成配置向导的界面，这里使用默认配置，可根据需求更改7、点击”完成“，设置保存路径，即开始扫描，扫描设置：在测试策略中，有多种不同的分组模式，最经常使用的是“严重性”，“类型”，“侵入式”、“WASC威胁分类”等标准，根据不同分组选择的扫描策略，最后组成一个共同的策略集合。

测试策略选择步骤如下：1.选择缺省的扫描策略，切换到按照“类型”分类，取消掉“基础结构”和“应用程序”两种类型。

说明：把扫描策略置空，没有选择任何的扫描策略。

在分组类型中选择“类型”分类，类型分类中只有两种类型：“基础结构”和“应用程序”，可以快速全部都取消掉。

2.分组类型，切换到“WASC威胁分类”，选择“SQL注入”和“跨站点脚本编制”。

3.分组类型，切换到“类型”，发现这时候“基础结构”和“应用程序”两种类型的扫描策略都是选择上的模式，而且是虚线，说明这两种类型下均有部分扫描策略被选择了，我们不关心“基础结构”级别的安全问题，所以在这里取消“基础结构”。

AppScan操作手册

AppScan操作⼿册AppScan操作⼿册1.SQL注⼊1.1.什么是sql注⼊所谓SQL注⼊（SQL Injection），就是利⽤程序员对⽤户输⼊数据的合法性检测不严或不检测的特点，故意从客户端提交特殊的代码，从⽽收集程序及服务器的信息，获取想得到的资料（如数据库⽤户名、密码、表结构等）。

SQL注⼊是从正常的WWW端⼝访问，⽽且表⾯看起来跟⼀般的Web页⾯访问没什么区别，所以⽬前市⾯的防⽕墙都不会对SQL注⼊发出警报。

动态⽣成Sql命令时没有对⽤户输⼊的数据进⾏验证是Sql注⼊攻击得逞的主要原因。

1.2.sql注⼊原理攻击者会将⼀些恶意代码插⼊到字符串中，然后会通过各种⼿段将该字符串传递到SQLServer数据库的实例中进⾏分析和执⾏。

只要这个恶意代码符合SQL语句的规则，则在代码编译与执⾏的时候，就不会被系统所发现。

SQL注⼊式攻击的主要形式有两种：⼀是直接将代码插⼊到与SQL命令串联在⼀起并使得其以执⾏的⽤户输⼊变量，由于其直接与SQL语句捆绑，故也被称为直接注⼊式攻击法。

⼆是⼀种间接的攻击⽅法，它将恶意代码注⼊要在表中存储或者作为原数据存储的字符串。

在存储的字符串中会连接到⼀个动态的SQL命令中，以执⾏⼀些恶意的SQL代码。

2.AppScan注册2.1.注册步骤1.将patch.exe⽂件当到APPSCAN的安装⽬录（如：D:\Program Files\IBM\Rational AppScan）下，运⾏。

2.运⾏keygen.exe，⽣成lince.lic⽂件。

打开APPSCAN，帮助-》许可证-》装⼊旧格式（.lic）的许可证，将刚才⽣成的.lic⽂件装载。

3.新建扫描任务3.1.扫描模板选择打开AppScan⼯具，点击“新建”，会弹出⼀个扫描模板选择框，⼀般选择“常规扫描” 或者⾃⼰定义的模板。

下⼀步会进⼊扫描配置向导，选择执⾏的扫描类型，默认是“Web应⽤程序扫描”，点击“下⼀步”，输⼊“起始URL”3.2.登录管理进⼊登录管理，因为有些页⾯需要登录后才能做有效的扫描，这⾥记录的是登录所需信息，便于扫描时能登录应⽤程序。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

右下部安全问题详细信息视图：此视图的内容与安全问题显示视图相关，用来显示某特定安全问题的详细信息，包括问题介绍、修复建议、测试数据等
如果你是第一次启动，屏幕中央将会出现一个“欢迎”对话框。在此对话中，您可以点击“入门”链接，查看 IBM Rational AppScan 的“新手入门帮助文档”。
也可以点击“创建新的扫描”来创建您的第一次Web安全扫描任务。
• 以下例子将选择“常规扫描”举例，点击右侧预定义模板中的“常规扫描”链接，将出现“扫描配置向导”。这里提供web应用程序和web server的扫描（如果需要web server的扫描必须先下载）
实例
• 我们显示使用IBM提供的测试 Web 站点：。使用软件预定义的模板，会自动显示在“New Scan”对话框中。点击URL链接后的按钮可以打开 APPSCAN浏览器查看网站是否可以正常连接
注：可以通过你所需要的内容，在右侧树中选择你报告所有体现的内容
3.从最低严重性列表中，选择要包含在报告中的问题最低严重性级别。
4.点击保存报告，自动生成报告；报告提供PDA或WORD格式这一测试站点的用户名及密码为： ❖ 用户名（Username）： jsmith
❖ 密码（Password）： Demo1234
• 选择适当的测试策略
• 完成扫描配置向导
• 完成配置后启动扫描专家的话，此时会关闭向导，并打开“扫描专家”面板，以评估站点当前的配置。
• 成功后可以看到显示：许可证：旧许可类型：Enterprise Edition
扫描原理
AppScan工作原理： • 1 通过搜索(爬行)发现整个 Web 应用结构 • 2 根据分析，发送修改的 HTTP Request 进行攻击尝试(扫描
规则库) • 3 通过对于 Respone 的分析验证是否存在安全漏洞
• 在商业安全扫描工具中，提供简体中文支持的，目前也只有AppScan一个。
内容索引
• 系统需求 • 安装过程 • 许可证安装 • 简单的运行安全测试
系统需求
安装 Rational AppScan
• “安装向导”会指导您快速简单地完成安装过程。
许可证安装
• 由于新版7.8以前的产品的旧格式（.lic）许可证可以继续用于新版本的APPSCAN所以可以使用以下方法进行破解。
• 解压AppScan7.8破解.rar 你会看到: patch.exe keygen.exe 如果没有看到keygen.exe那肯定被你的杀毒软件给干了. 解压之前一定要关掉所有杀毒的（包括关闭自动防护）. 第一步: 打开patch.exe ---> patch --->Can not find the file. Search the file?--->是--->(AppScan 安装目录下)选中engine_control.dll--->OK 第二步: 打开keygen.exe ---> 在第一个框Team EDGE输入随便输入如：keygen --->Generate-->当前目录生成license.lic 第三步：将自动生成的license.lic复制到APPSCAN的安装目录License文件夹下。第四步：打开APPSCAN程序，单击帮助--->许可证--->装入旧格式（.lic）许可证
图 1. AppScan 扫描原理：扫描规则库 + 爬行 + 测试
扫描原理
探索阶段在第一个阶段里，appscan会通过模仿成web用户单击链接并填写表单字段来探索站点（web应用程序或web server）这就是探索阶段。探索阶段可以遍历每个URL路径，并分析后创建测试点。
扫描原理
测试阶段 “测试”期间，appscan会发送它在“探索”阶段创建的成千上万个定制的测试请求，通过你定制好的测试策略分析每个测试的响应，最后根据规则识别应用程序中的安全问题，并排列这些安全问题的风险级别。
安全测试基本工作流程
尝试一次简单的安全测试
• 启动 AppScan 应用程序，显示主窗体
菜单栏：涵盖了 AppScan 中的所有可用功能工具条：常用功能的快捷菜单，如开始扫描、扫描配置、扫描专家等左上部网站导航视图（应用程序树）：在扫描过程中 AppScan 会按照一定的层次组织显示站点结构图（默认是按照 URL 层次进行组织，用户可以在扫描配置中更改这一设置）右上部安全问题显示视图（结果列表）：AppScan 将在此视图中列出检测到的所有安全缺陷左下部安全问题汇总视图（仪表板）：AppScan 将在此视图中列出检测到的安全缺陷统计信息
• 自动保存
执行你的第一次Web安全扫描任务。
在执行Web安全扫描任务的过程中，您可以随时查看已经检测出的Web安全问题。扫描专家评估完成后，会显示所建议的配置更改核实表。
这里要注意的是：如果存在用户输入的APPSCAN无法执行的更改，那么它们的复选框会显示成灰色且为未选中状态，如果要修改这些更改，单击更改的链接
• Web安全扫描任务完成。
• “结果专家”通常在全面扫描之后自动运行，但是它也可以在全面或部分扫描结果上随时手动运行。如果测试时间有限的话，如果结果数量很大的话你可以决定不适用“ 结果专家”。
“安全报告”会提供扫描期间发现的安全问题信息。
1.在工具菜单上，单击报告，然后选择安全报告。
2.选择模板：管理综合报告、详细报告、修复任务、开发者、QA、站点目录。
APPSCAN安全测试工具基础
内容概要
• Watchfire AppScan是业界第一款并且是领先的web应用安全测试工具包，也是唯一一个在所有级别应用上提供全面纠正任务的工具。AppScan扫描web应用的基础架构，进行安全漏洞测试并提供可行的报告和建议。AppScan的扫描能力，配置向导和详细的报表系统都进行了整合，简化使用，增强用户效率，有利于安全防范和保护web应用基础架构。