台南市网站建设_网站建设公司_论坛网站_seo优化

AppScan 9.0.3.5 是 IBM 出的一款Web应用安全扫描工具，专门用来找网站/系统的安全漏洞（比如SQL注入、XSS跨站脚本、弱密码等）。Eval是评估版，功能全但可能有时间限制，适合学习、测试或内部项目用。

它操作不算难，跟着步骤走，半小时就能跑出一份漏洞报告。

一、准备工作

1. 下载并安装​

   • 安装包下载：https://pan.quark.cn/s/087ccb635af1

   • 双击运行，一路点“下一步”，选安装位置（默认C盘也行，空间够就不动），最后点“完成”。

   • 装完桌面会有快捷方式，双击打开。

2. 确认目标网站​

   • 要有一个可访问的测试网站（比如自己搭的本地环境，或公司测试环境），别直接扫公网正式网站（可能违法或影响业务）。

   • 确保网站能正常打开，没有强制登录（或你知道测试账号密码）。

二、新建扫描任务

1. 打开 AppScan，点左上角“文件”→“新建”（或按Ctrl+N）。

2. 在弹出的“扫描配置向导”里，选“Web应用程序扫描”（最常用），点“下一步”。

3. 填目标URL​

   • 在“起始URL”框里输入要扫的网站地址（比如http://test.com或http://192.168.1.100:8080）。

   • 点“下一步”，AppScan 会先“爬取”网站（自动点链接、抓页面），等进度条走完。

4. 登录设置（如果有）​

   • 如果网站需要登录，选“需要登录”，然后：

     • 点“记录”→ 在弹出的浏览器里输入账号密码登录，操作完关掉浏览器，AppScan 会记录登录过程。

     • 或手动填登录表单的URL、用户名/密码字段名（适合复杂登录）。

   • 不需要登录就选“无”，点“下一步”。

5. 选择扫描类型​

   • 一般选“全面扫描”（会测很多漏洞类型），或“仅测试已知漏洞”（快但覆盖少）。

   • 点“下一步”，给任务起个名字（比如“测试网站扫描-202401”），选保存位置，点“完成”。

三、开始扫描

1. 回到主界面，在左侧“我的扫描”里找到刚建的任务，点“扫描”→“开始全面扫描”（或点绿色播放按钮）。

2. 此时 AppScan 会先“重新爬取”网站，再逐个发“测试请求”找漏洞，进度条会显示“爬取中”“测试中”。

3. 扫描时间看网站大小，小网站几分钟，大网站可能几十分钟，耐心等。

四、查看扫描结果

1. 扫描完成后，右侧会显示漏洞列表，按“风险等级”排序（高/中/低/信息）。

2. 点某个漏洞，下方会显示：

   • 漏洞描述：比如“发现SQL注入漏洞，攻击者可获取数据库数据”。

   • 请求/响应：显示触发漏洞的具体请求和服务器返回的结果。

   • 修复建议：告诉你怎么改代码或配置来堵漏洞。

3. 想导出报告？点顶部“报告”→“生成报告”，选格式（HTML/PDF/Word），保存到本地就能发给开发或领导看。

五、停止或暂停扫描

• 想中途停：点顶部“扫描”→“停止扫描”（或红色方块按钮）。

• 暂停：点“暂停扫描”，之后可以继续（适合临时有事离开）。