IBM AppScan是一款非常好用且功能強(qiáng)大的Web 應(yīng)用安全測(cè)試工具，曾以 Watchfire AppScan 的名稱享譽(yù)業(yè)界，Rational AppScan 可自動(dòng)化 Web 應(yīng)用的安全漏洞評(píng)估工作，能掃描和檢測(cè)所有常見的 Web 應(yīng)用安全漏洞，例如 SQL 注入（SQL-injection）、跨站點(diǎn)腳本攻擊（cross-site scripting）、緩沖區(qū)溢出（buffer overflow）及最新的 Flash/Flex 應(yīng)用及 Web 2.0 應(yīng)用曝露等方面安全漏洞的掃描。歡迎有需要的朋友們前來(lái)下載使用。

個(gè)人認(rèn)為appscan掃描太慢，不如WVS掃描快，可配合使用。

IBM AppScan安裝破解教程

一、安裝

1、在本站提供的百度網(wǎng)盤地址中下載這兩個(gè)文件，AppScan_Std_9.0.3.6_Eval_Win.exe是安裝主程序，LicenseProvider.dll為破解文件，雙擊AppScan_Std_9.0.3.6_Eval_Win.exe進(jìn)行安裝。

2、選擇中文(簡(jiǎn)體)語(yǔ)言，確定。

3、由于小編系統(tǒng)中沒有.NET Framework 4.6.2 Web組件，這里提示需要安裝，同樣沒有該組件的童鞋們可以看一下，如果沒有提示這一項(xiàng)的話，可以直接看第6步。

點(diǎn)擊安裝。

4、選擇我已閱讀并接受許可條款，并點(diǎn)擊安裝。

正在安裝.NET，等待即可

5、.NET 4.6.2安裝完畢，點(diǎn)擊完成。

6、現(xiàn)在正在解壓AppScan 9.0.3.6，不用管它。

7、在安裝界面中，選擇我接受許可協(xié)議中的全部條款，并點(diǎn)擊下一步進(jìn)行安裝。

8、AppScan默認(rèn)安裝在C:\Program Files (x86)\IBM\AppScan Standard\，我們可以選擇更改安裝到其它盤中，小編建議D盤，盡量不要所有的程序都安裝C盤，會(huì)影響系統(tǒng)速度。

9、這里小編選擇的是F盤，大家根據(jù)自己的習(xí)慣即可，選擇好后，點(diǎn)擊確定。

10、安裝。

11、安裝程序功能，需要等待幾分鐘，靜待即可。

12、點(diǎn)擊完成結(jié)束安裝程序。

二、破解

1、找到桌面上的AppScan圖標(biāo)，先不要打開。

2、點(diǎn)擊鼠標(biāo)右鍵，選擇屬性。

3、在彈出的窗口中，點(diǎn)擊打開文件位置的選項(xiàng)，這樣可以讓你快速定位到文件的安裝目錄。

4、將下載下來(lái)的LicenseProvider.dll破解文件，復(fù)制到彈出來(lái)的安裝目錄下。

5、選擇替換功能，將之前的LicenseProvider.dll文件替換掉。

6、破解完成，現(xiàn)在大家就可以使用AppScan 9.0.3.6的全部功能了。注意：替換后運(yùn)行軟件還顯示演示許可證，但是掃描目標(biāo)已不受限制

軟件功能

　　AppScan Standard 采用三種彼此互補(bǔ)和增強(qiáng)的不同測(cè)試方法：

　　動(dòng)態(tài)分析（“黑盒掃描”）

　　這是主要方法，用于測(cè)試和評(píng)估運(yùn)行時(shí)的應(yīng)用程序響應(yīng)。

　　靜態(tài)分析（“白盒掃描”）

　　這是用于在完整 Web 頁(yè)面上下文中分析 JavaScript 代碼的獨(dú)特技術(shù)。

　　交互分析（“glass box 掃描”）

　　動(dòng)態(tài)測(cè)試引擎可與駐留在 Web 服務(wù)器本身上的專用 glass-box 代理程序交互，從而使 AppScan 能夠比僅通過(guò)傳統(tǒng)動(dòng)態(tài)測(cè)試時(shí)識(shí)別更多問(wèn)題并具有更高準(zhǔn)確性。

　　AppScan 的高級(jí)功能包括：

　　常規(guī)和法規(guī)一致性報(bào)告，并提供超過(guò) 40 個(gè)不同的開箱即用模板

　　通過(guò) AppScan eXtension Framework 或通過(guò)使用 AppScan SDK 直接集成到現(xiàn)有系統(tǒng)內(nèi)來(lái)實(shí)現(xiàn)的定制和可擴(kuò)展性

　　鏈接分類功能，超越應(yīng)用程序安全性以確認(rèn)由指向惡意或其他不需要的站點(diǎn)的鏈接向用戶帶來(lái)的風(fēng)險(xiǎn)

　　AppScan Standard 可幫助您在站點(diǎn)部署之前并且為生產(chǎn)階段的進(jìn)行中風(fēng)險(xiǎn)評(píng)估來(lái)降低 Web 應(yīng)用程序攻擊和數(shù)據(jù)違規(guī)的風(fēng)險(xiǎn)。

軟件特色

　　“AppScan® 全面掃描”包含兩個(gè)階段：探索和測(cè)試。 盡管掃描過(guò)程的絕大部分對(duì)于用戶來(lái)說(shuō)實(shí)際上是無(wú)縫的，并且直到掃描完成幾乎不需要用戶輸入，但理解其后的原則仍然很有幫助。

　　探索階段

　　在第一個(gè)階段中，AppScan 通過(guò)模擬 Web 用戶單擊鏈接和填寫表單字段來(lái)探索站點(diǎn)（Web 應(yīng)用程序或 Web 服務(wù)）。這就是“探索”階段。

　　AppScan 將分析它所發(fā)送的每個(gè)請(qǐng)求的響應(yīng)，查找潛在漏洞的任何指示信息。 AppScan 接收到可能指示有安全漏洞的響應(yīng)時(shí)，它將自動(dòng)基于響應(yīng)創(chuàng)建測(cè)試，并通知所需驗(yàn)證規(guī)則，同時(shí)考慮在確定哪些結(jié)果構(gòu)成漏洞以及所涉及到安全風(fēng)險(xiǎn)的級(jí)別時(shí)所需的驗(yàn)證規(guī)則。

　　在發(fā)送所創(chuàng)建的特定于站點(diǎn)的測(cè)試之前，AppScan 將向應(yīng)用程序發(fā)送若干格式不正確的請(qǐng)求，以確定其生成錯(cuò)誤響應(yīng)的方式。 之后，此信息將用于增加 AppScan 的自動(dòng)測(cè)試驗(yàn)證過(guò)程的精確性。

　　測(cè)試階段

　　在第二個(gè)階段，AppScan 將發(fā)送它在探索階段創(chuàng)建的數(shù)千個(gè)定制測(cè)試請(qǐng)求。 它使用定制驗(yàn)證規(guī)則記錄和分析應(yīng)用程序?qū)γ總€(gè)測(cè)試的響應(yīng)。 這些規(guī)則既可識(shí)別應(yīng)用程序內(nèi)的安全問(wèn)題，又可排列其安全風(fēng)險(xiǎn)級(jí)別。

　　無(wú) Web 服務(wù)的站點(diǎn)

　　如果是沒有 Web 服務(wù)的站點(diǎn)，那么為 AppScan® 提供起始 URL 和登錄認(rèn)證憑證可能足以使其能夠測(cè)試站點(diǎn)。

　　如有必要，還可以通過(guò) AppScan 手動(dòng)搜尋站點(diǎn)，以便能夠訪問(wèn)僅通過(guò)特定用戶輸入才能到達(dá)的區(qū)域。

　　Web 服務(wù)

　　為了能夠有效掃描 Web Service，AppScan 安裝包含一項(xiàng)工具，用戶通過(guò)它可查看 Web 服務(wù)中整合的各種方法，處理輸入數(shù)據(jù)以及檢查來(lái)自服務(wù)的反饋。

　　您首先需要為 AppScan 提供服務(wù)的 URL。 集成的“通用服務(wù)客戶機(jī) (GSC)”使用服務(wù)的 WSDL 文件以樹格式顯示可用的單獨(dú)方法，并且會(huì)創(chuàng)建用于向服務(wù)發(fā)送請(qǐng)求的用戶友好 GUI。您可以使用此界面輸入?yún)?shù)和查看結(jié)果。此過(guò)程由 AppScan 進(jìn)行“記錄”，并且用于在 AppScan 掃描站點(diǎn)時(shí)創(chuàng)建針對(duì)服務(wù)的測(cè)試。

使用說(shuō)明

　　需要用戶交互

　　這些是由于需要用戶提供 AppScan® 所無(wú)法提供的輸入而未發(fā)送的請(qǐng)求。您可以配置 AppScan 以提供輸入；請(qǐng)參閱“自動(dòng)表單填充”視圖。 如果您遺漏了某些應(yīng)用程序參數(shù)，或選擇不使用自動(dòng)表單填充器，那么 AppScan 將會(huì)提供交互式 URL 列表供您復(fù)審。

　　您可以檢查交互式 URL 列表。 如果您想要掃描這些頁(yè)面，那么要提供“手動(dòng)探索”中要求的用戶信息。

　　建議您仔細(xì)檢查交互式 URL 的列表，填寫所需數(shù)據(jù)，然后發(fā)送這些請(qǐng)求。 AppScan 之后將在“測(cè)試”階段包括這些 URL。

　　通過(guò)使 AppScan 能夠發(fā)送這些請(qǐng)求，站點(diǎn)中先前不可訪問(wèn)的整個(gè)新部分可能得以訪問(wèn)。因此，您訪問(wèn)交互式 URL 后，應(yīng)該重新探索您的應(yīng)用程序（掃描 > 重新掃描 > 探索）。

　　導(dǎo)出掃描結(jié)果

　　掃描完成時(shí)，結(jié)果將顯示在主窗口上。 其他視圖（問(wèn)題、修復(fù)、應(yīng)用程序數(shù)據(jù)）提供經(jīng)過(guò)濾可使用的掃描結(jié)果。

　　您可以通過(guò)不同方法從 AppScan® 導(dǎo)出掃描結(jié)果：

　　配置并生成 AppScan 報(bào)告；導(dǎo)出為 PDF 或其他可讀可移植格式。

　　從“問(wèn)題”中選擇測(cè)試變體，并允許 AppScan 將變體信息的 zip 文件附加到新電子郵件。 請(qǐng)參閱結(jié)果：安全問(wèn)題。

　　從完整掃描結(jié)果中生成數(shù)據(jù)庫(kù)或 XML 文件。

　　修復(fù)任務(wù)：應(yīng)用程序樹

　　應(yīng)用程序樹顯示已掃描的應(yīng)用程序的文件夾和文件。 樹中每個(gè)節(jié)點(diǎn)都有一個(gè)計(jì)數(shù)器，顯示節(jié)點(diǎn)中有多少項(xiàng)修復(fù)任務(wù)。 每個(gè)節(jié)點(diǎn)的計(jì)數(shù)將會(huì)等于或少于問(wèn)題視圖的計(jì)數(shù)，這是由于一項(xiàng)修復(fù)任務(wù)可能會(huì)解決多個(gè)問(wèn)題。

　　應(yīng)用程序樹顯示以下級(jí)別的修復(fù)任務(wù)：

　　任務(wù)名稱

　　URL

　　參數(shù)或 cookie

　　針對(duì)若干 URL 上找到的問(wèn)題而設(shè)計(jì)的單個(gè)任務(wù)以及其下的 URL 將列出一次。

　　在應(yīng)用程序樹中選擇一個(gè)節(jié)點(diǎn)，以過(guò)濾結(jié)果列表，這樣將僅顯示所選節(jié)點(diǎn)的結(jié)果。