动态应用安全测试工具 动态安全测试怎么做

品牌型号:联想ThinkPad E14

系统:Windows 10家庭版

软件版本:AppScan

网站的安全测试有很多种，动态安全测试是时下常用的测试方式之一。所谓的动态安全测试是一种模拟真实攻击的测试方式，这种攻击方式又被称为黑盒测试，或DAST安全测试。下面我们就来介绍动态应用安全测试工具，以及动态安全测试怎么做。

一、动态应用安全测试工具

动态应用安全测试工具有很多，这里我们将介绍我自己正在使用的AppScan。

DAST安全测试有手动安全测试，也有自动的安全测试，AppScan则是一种可以进行自动安全的工具。通过【扫描配置】，我们不仅可以编辑【探索】方案，同时还可以在【测试】内选择安全漏洞类型，开启测试后，软件会根据在【测试】内选择的安全漏洞类型对网站进行工具，测试完毕后，软件会给出详细的测试报告。

下面我们来看动态安全测试如何做吧！

二、动态安全测试怎么做

使用AppScan对网站进行安全测试的配置方式，可以分为三个步骤，分别是：（1）探索；（2）连接；（3）测试。

1.探索

AppScan的【探索】，便是DAST安全测试的爬虫部分，这里我们需要在【URL和服务器】内填写目标网站；然后在【登录管理】位置填写管理员账户及密码；如果站点中有路径和文件不需要探索，那么我们可以在【排除路径和文件】位置进行规避（如图3）。

通过对【探索】部分的配置，便完成了爬虫的设置。

2.连接

在【连接】部分，我们可以编辑【线程】，线程越多表示测试的速度越快。同时，我们还可使用代理，以及选择不同的ip地址和端口。

3.测试

通过AppScan【测试】位置，我们可以在【测试策略】内选择模拟攻击的方式，如LDAP注入等；同时，在【特权升级】位置，我们还可以设置对比账户，以查看网站是否存在用户可以越权访问的情况。

待以上配置设置完毕后，开始测试即可。

三、总结

以上便是，动态应用安全测试工具，动态安全测试怎么做的内容。这里我们介绍了可以进行动态应用安全测试的工具——AppScan。在AppScan制作动态安全测试时，我们先要对【探索】进行配置，然后再选择测试策略，最后开启测试即可。更多有关AppScan使用技巧，尽在AppScan中文网站！