appscan黑盒扫描-appscan-华克斯

appscan standard应用安全漏洞扫描工具参数，更新 v10.0 参数：

5、支持大量第三方底层组件的测试，如：apache、tomcat、websphere、mysql等；

6、在扫描过程中，支持动态实时日志分析；

7、支持将模拟攻击产生的结果以屏幕快照的方式嵌入蕞终报告；

8、可以提供面向owasp

th 10 2013&2017、sans top 20 v5&v6、wasc威胁分类、pci标准、nerccipc安全指南、iso17799&27001、sox、mastercard sdp、visa cisp等行业标准的符合性分析报告；

9、提供比较两次不同扫描结果，进行差异分析（报告增量分析）的能力；

10、提供漏洞规则库，覆盖wasc和owasp两大web安全标准组织定义的主流的各种攻击技术和手段，能够检测至少20种变种；对于sql injection，web应用安全测试工具，能够检测至少40种变种。

appscan软件特色

　　“appscan? 扫描”包含两个阶段：探索和测试。 尽管扫描过程的绝大部分对于用户来说实际上是无缝的，并且直到扫描完成几乎不需要用户输入，但理解其后的原则仍然很有帮助。

　　探索阶段

　　在个阶段中，appscan，appscan 通过模拟 web 用户单击链接和填写表单字段来探索站点（web 应用程序或 web 服务）。这就是“探索”阶段。

　　appscan 将分析它所发送的每个请求的响应，查找潜在漏洞的任何指示信息。 appscan 接收到可能指示有安全漏洞的响应时，它将自动基于响应创建测试，并通知所需验证规则，同时考虑在确定哪些结果构成漏洞以及所涉及到安全风险的级别时所需的验证规则。

　　测试阶段

　　在第二个阶段，appscan 将发送它在探索阶段创建的数千个定制测试请求。 它使用定制验证规则记录和分析应用程序对每个测试的响应。 这些规则既可识别应用程序内的安全问题，又可排列其安全风险级别。

　　无 web 服务的站点

　　如果是没有 web 服务的站点，那么为 appscan? 提供起始 url 和登录凭证可能---使其能够测试站点。

　　如有---，还可以通过 appscan 手动搜寻站点，以便能够访问仅通过特定用户输入才能到达的区域。

　　web 服务

　　为了能够有效扫描 web service，appscan 安装包含一项工具，用户通过它可查看 web 服务中整合的各种方法，处理输入数据以及检查来自服务的反馈。