appscan-appscan扫描-华克斯(商家)

appscan测试移动应用程序安全性

配置 appscan 测试移动应用程序　　

在采用 ibm security appscan 进行安全性测试之前，首先要配置移动端，appscan 和 server 端的连接。通过设置 appscan 为移动端代理，移动端和服务器端的交互，拦截和转发移动端与 server 端交互的数据流，appscan 可以对移动应用程序进行有效的安全性扫描。下图以 ios 为例来说明如何进行配置。

首先，通过端口映射工具配置移动端和 appscan 之间的数据连接。本文采用 rinetd 进行配置，appscan，rinetd 是为重定向传输控制协议 (tcp) 连接的一个开源工具，支持 unix，  linux 和  windows 多种 操作系统。安装 rinetd 以后，配置端口转发文件并基于配置文件启动 rinetd 即可。　　

配置完端口映射工具以后，根据信息配置 ios 端网络，使移动端应用程序数据通过发往 appscan 代理。进入 iphone， 选择设置 ->; 无线局域网 ->; 当前网络 ->; 详细信息 ->;http 代理，配置相应的服务器和端口信息。服务器 ip 为 appscan 所在 server 端 ip 地址，appscan扫描，端口为 rinetd.conf 里配置的端口信息。

appscan详细方法步骤

三、分析测试结果复现漏洞

报告会显示很多漏洞，等级分为高，中，低，但是有些漏洞是无法重现的，所以需要人工分析，appscan，手动复现。

注意：不要轻易---重新测试，有些问题重新测试之后就没了，这应该是工具问题，实际项目中遇到好多次了，可以先保存一份文件，再一份同样的文件出来重新测试。

appscan分析扫描结果的同时，如果发现不是你的应用程序有关的问题，可以---右上角的vulnerability–>;state–>;noise.这个扫描将会完全从列表中删除此扫描结果.如果想显示，可以在view–>;show issues marker as noise(显示标记为干扰的问题)，将会显示带有删除线的灰色文本中的问题.