AppScan软件特点

1、动态分析（“黑盒扫描”）

这是主要方法，用于测试和评估运行时的应用程序响应。

2、静态分析（“白盒扫描”）

这是用于在完整 Web 页面上下文中分析 JavaScript 代码的技术。

3、交互分析（“glass box 扫描”）

动态测试引擎可与驻留在 Web 服务器本身上的 glass-box 代理程序交互，从而使AppScan10中文能够比仅通过传统动态测试时识别更多问题并具有更高准确性。

4、AppScan10的高及功能包括：

常规和法规一致性报告，并提供超过 40 个不同的开箱即用模板

APPScan扫描操作教程

1.打开AppScan

2.文件-->新建-->创建新的扫描，如：常规扫描   3.进入配置向导页面，选择Web应用程序扫描，点击“下一步”

PS：若需要使用Web Service扫描功能，需要提前安装好GSC Web Services记录器 4.进入扫描配置向导页面，URL输入框的地址即为被测网址or其IP地址，如输入以下被测url，点击“下一步”

PS：1）可以打开AppScan内置浏览器查看被测链接是否能正常访问；2）以下被测网址为某个专门测试用的漏洞网站，非常规使用的网站 5.登录方法：根据实际需要选择（如：自动），用户名和密码即为被测网站的登录账户，Web应用安全测试工具，点击“下一步

AppScan测试移动应用程序安全性

AppScan移动端应用程序根据其编程特点分为三大类：　　

Mobile Native Application：使用移动设备 native language 开发的应用程序，开发速度快，应用程序稳定，但依赖于平台。（eg:  iphone 上使用 object-C， android 上使用 Java）　　

Mobile Hybrid Application：由 Web UI 和底层 Native Layer 共同组成，可以跨平台。　

Mobile Web Application：通过 浏览器进行交互，Appscan版本，在已有的 PC 端网站上增添对移动端的支持，Appscan试用，使其能适应移动端的特性。　　

无论是哪一类的应用程序，都是由移动平台客户端和服务器共同组成，移动平台客户端和服务器之间有多种通信协议，包括 XML，REST，Appscan，SOAP 等。移动端应用比较多的是 REST（Representational State Transfer），因为 REST 模式的 Web Service 与复杂的 SOAP 和 XML-RPC 相比明显的更加简洁。越来越多的移动端 Web Service 开始采用 REST 风格设计和实现。由于其轻量级和简单的特性，基于 REST 构建的 Web Service 往往没有对应的“WSDL”文件定义。缺乏入口信息，采用安全扫描工具直接扫描很难达到有效覆盖。为了更有效的测试出移动应用程序的安全问题，在实践中通常采用探索 -> 测试 -> 再探索 -> 测试的方式；或者在 IBM Security AppScan 中配置参数和模式使得扫描的结果。