⑴ 如何使用AppScan掃描大型網站
N久沒有寫技術文章了,改之,來篇連載的,呵呵,大綱先附上。 經常聽到抱怨,說AppScan無法掃描大型的網站,或者是掃描接近完成時候無法保存,甚至保存後的結果文件下次無法打開?;同時大家又都很奇怪,作為一款業界出名的工具,是配置使用不當還是?我們就一起來討論下AppScan掃描大型網站會遇到的問題以及應對。 AppScan工作原理和網站規模討論 工欲善其事,必先利其器,先了解AppScan原理開始:1)網站規模2)AppScan的工作原理3)掃描規模:AppScan的掃描能力收到哪些因素的影響?好的,對AppScan工具和網站的特點有了了解以後,我們來討論如何更有效地使用AppScan來進行安全掃描,特別是掃描大型網站?使用AppScan來進行掃描我們按照PDCA的方法論來進行規劃和討論; 建議的AppScan使用步驟:PDCA: Plan,Do,check, Action and Analysis.不去考究A是action還是Analysis了,我習慣理解為Analysis,前面都Do了,這里就更要分析和總結。 計劃階段:明確目的,進行策略性的選擇和任務分解。1) 明確目的:選擇合適的掃描策略2) 了解對象:首先進行探索,了解網站結構和規模3) 確定策略:進行對應的配置a) 按照目錄進行掃描任務的分解b) 按照掃描策略進行掃描任務的分解 執行階段:一邊掃描一遍觀察4)進行掃描5) 先爬後掃(繼續僅測試)檢查階段(Check)6) 檢查和調整配置結果分析(Analysis)7)對比結果8) 匯總結果(整合和過濾)其他常見的AppScan配置:1) 掃描保存的間隔時間2)內存使用量3)臨時文件的保存路徑