appscan怎么扫描https网站

品牌型号：华硕台式电脑

系统： windows 10 正式版

软件版本：HCL AppScan Standard

HCL AppScan Standard是IBM公司针对网站应用安全漏洞推出的检测工具，功能强大而且十分齐全，可以对网站的各种安全问题进行扫描，同时在生成的报告中详细提供漏洞类型，漏洞原理以及修复建议等，是站长们非常得力的助手，那大家知道appscan怎么扫描https网站吗？

appscan怎么扫描https网站

首先先来了解一下appscan的工作原理：

appscan的工作原理是通过http request和http response的内容，扫描出网站应用的整体结构。然后对比自身的漏洞扫描规则库，找到http response和正常request的响应之间的差异，并分析差异是否符合其规则库里的规则设定。从而分析网站是否丰在安全漏洞。当appscan判定存在漏洞时，会给出漏洞原理的说明以及相应的修复建议。

了解完其工作原理后再来了解一下appscan的测试的几种方式:

1、动态分析，也就是常说的“黑盒扫描”，也是appscan主要的扫描方式，指的是通过远程识别服务，扫描并分析服务是否存在漏洞，以及服务运行的响应效率。

2、静态分析，也称“白盒扫描”，是指在具有主机操作权限的情况下进行漏洞扫描，一般适用于完整的网站页面中分析javascrip代码的技术，这种分析技术得到的检测报告会更准确，但无法做为外部攻击测试的数据依据，因为外部攻击会受到各种因素的干扰，同时大多数情况很难拿到主机操作权限的。

３、交互分析（glass box scan）,appscan的黑盒扫描可以与网站驻留的glass-box代理程序进行交互，而交互分析相较于单纯的黑盒扫描能够得到更准确的报告。

最后给大家分享一下appscan扫描网站的具体步骤：

步骤一、双击打开appscan的文件菜单下的新建命令。

步骤二、在弹出的对话框中选择Web应用程序进入配置向导界面。

步骤三、在地址栏中输入被检测的网址或者IP地址，然后点击下一步。

步骤四、根据实际需求选择登入方法，这里有四个选项记录、自动、提示和无。

1、记录指的是使用appscan内置浏览器进行登入并记录账号密码;

2、自动指的是自动使用被检测网站的账户密码;

3、提示是指的是在扫描过程中需要登入时提示输入登入信息;

4、无是指的是不需要输入登入信息。

步骤五、根据实际需求选择操作策略，一般情况下选择默认的“缺省值”就可以了。然后点击下一步，当然也可以选择其它策略文件。

步骤六、根据需求，设置测试优化的速度，这个会根据网站的不同而产生一些差异。再点击下一步。

步骤七、根据需求设置启动模式，点击完成。

步骤八、等待扫描结束后就可以查看扫描结果。然后选择仅测试，开始攻击测试。

步骤九、查看测试结果报告和修复建议等。

步骤十、点击报告选项，根据需求导出不同的安全报告并保存。

本文为大家分享appscan怎么扫描https网站的原理、方式以及具体的操作步骤，希望对大家有所帮助。