IBM AppScan是一款非常好用且功能強大的Web 應用安全測試工具，曾以 Watchfire AppScan 的名稱享譽業(yè)界，Rational AppScan 可自動化 Web 應用的安全漏洞評估工作，能掃描和檢測所有常見的 Web 應用安全漏洞，例如 SQL 注入（SQL-injection）、跨站點腳本攻擊（cross-site scripting）、緩沖區(qū)溢出（buffer overflow）及最新的 Flash/Flex 應用及 Web 2.0 應用曝露等方面安全漏洞的掃描。歡迎有需要的朋友們前來下載使用。

個人認為appscan掃描太慢，不如WVS掃描快，可配合使用。

IBM AppScan安裝破解教程

一、安裝

1、在本站提供的百度網(wǎng)盤地址中下載這兩個文件，AppScan_Std_9.0.3.6_Eval_Win.exe是安裝主程序，LicenseProvider.dll為破解文件，雙擊AppScan_Std_9.0.3.6_Eval_Win.exe進行安裝。

2、選擇中文(簡體)語言，確定。

3、由于小編系統(tǒng)中沒有.NET Framework 4.6.2 Web組件，這里提示需要安裝，同樣沒有該組件的童鞋們可以看一下，如果沒有提示這一項的話，可以直接看第6步。

點擊安裝。

4、選擇我已閱讀并接受許可條款，并點擊安裝。

正在安裝.NET，等待即可

5、.NET 4.6.2安裝完畢，點擊完成。

6、現(xiàn)在正在解壓AppScan 9.0.3.6，不用管它。

7、在安裝界面中，選擇我接受許可協(xié)議中的全部條款，并點擊下一步進行安裝。

8、AppScan默認安裝在C:\Program Files (x86)\IBM\AppScan Standard\，我們可以選擇更改安裝到其它盤中，小編建議D盤，盡量不要所有的程序都安裝C盤，會影響系統(tǒng)速度。

9、這里小編選擇的是F盤，大家根據(jù)自己的習慣即可，選擇好后，點擊確定。

10、安裝。

11、安裝程序功能，需要等待幾分鐘，靜待即可。

12、點擊完成結束安裝程序。

二、破解

1、找到桌面上的AppScan圖標，先不要打開。

2、點擊鼠標右鍵，選擇屬性。

3、在彈出的窗口中，點擊打開文件位置的選項，這樣可以讓你快速定位到文件的安裝目錄。

4、將下載下來的LicenseProvider.dll破解文件，復制到彈出來的安裝目錄下。

5、選擇替換功能，將之前的LicenseProvider.dll文件替換掉。

6、破解完成，現(xiàn)在大家就可以使用AppScan 9.0.3.6的全部功能了。注意：替換后運行軟件還顯示演示許可證，但是掃描目標已不受限制

軟件功能

　　AppScan Standard 采用三種彼此互補和增強的不同測試方法：

　　動態(tài)分析（“黑盒掃描”）

　　這是主要方法，用于測試和評估運行時的應用程序響應。

　　靜態(tài)分析（“白盒掃描”）

　　這是用于在完整 Web 頁面上下文中分析 JavaScript 代碼的獨特技術。

　　交互分析（“glass box 掃描”）

　　動態(tài)測試引擎可與駐留在 Web 服務器本身上的專用 glass-box 代理程序交互，從而使 AppScan 能夠比僅通過傳統(tǒng)動態(tài)測試時識別更多問題并具有更高準確性。

　　AppScan 的高級功能包括：

　　常規(guī)和法規(guī)一致性報告，并提供超過 40 個不同的開箱即用模板

　　通過 AppScan eXtension Framework 或通過使用 AppScan SDK 直接集成到現(xiàn)有系統(tǒng)內(nèi)來實現(xiàn)的定制和可擴展性

　　鏈接分類功能，超越應用程序安全性以確認由指向惡意或其他不需要的站點的鏈接向用戶帶來的風險

　　AppScan Standard 可幫助您在站點部署之前并且為生產(chǎn)階段的進行中風險評估來降低 Web 應用程序攻擊和數(shù)據(jù)違規(guī)的風險。

軟件特色

　　“AppScan® 全面掃描”包含兩個階段：探索和測試。 盡管掃描過程的絕大部分對于用戶來說實際上是無縫的，并且直到掃描完成幾乎不需要用戶輸入，但理解其后的原則仍然很有幫助。

　　探索階段

　　在第一個階段中，AppScan 通過模擬 Web 用戶單擊鏈接和填寫表單字段來探索站點（Web 應用程序或 Web 服務）。這就是“探索”階段。

　　AppScan 將分析它所發(fā)送的每個請求的響應，查找潛在漏洞的任何指示信息。 AppScan 接收到可能指示有安全漏洞的響應時，它將自動基于響應創(chuàng)建測試，并通知所需驗證規(guī)則，同時考慮在確定哪些結果構成漏洞以及所涉及到安全風險的級別時所需的驗證規(guī)則。

　　在發(fā)送所創(chuàng)建的特定于站點的測試之前，AppScan 將向應用程序發(fā)送若干格式不正確的請求，以確定其生成錯誤響應的方式。 之后，此信息將用于增加 AppScan 的自動測試驗證過程的精確性。

　　測試階段

　　在第二個階段，AppScan 將發(fā)送它在探索階段創(chuàng)建的數(shù)千個定制測試請求。 它使用定制驗證規(guī)則記錄和分析應用程序對每個測試的響應。 這些規(guī)則既可識別應用程序內(nèi)的安全問題，又可排列其安全風險級別。

　　無 Web 服務的站點

　　如果是沒有 Web 服務的站點，那么為 AppScan® 提供起始 URL 和登錄認證憑證可能足以使其能夠測試站點。

　　如有必要，還可以通過 AppScan 手動搜尋站點，以便能夠訪問僅通過特定用戶輸入才能到達的區(qū)域。

　　Web 服務

　　為了能夠有效掃描 Web Service，AppScan 安裝包含一項工具，用戶通過它可查看 Web 服務中整合的各種方法，處理輸入數(shù)據(jù)以及檢查來自服務的反饋。

　　您首先需要為 AppScan 提供服務的 URL。 集成的“通用服務客戶機 (GSC)”使用服務的 WSDL 文件以樹格式顯示可用的單獨方法，并且會創(chuàng)建用于向服務發(fā)送請求的用戶友好 GUI。您可以使用此界面輸入?yún)?shù)和查看結果。此過程由 AppScan 進行“記錄”，并且用于在 AppScan 掃描站點時創(chuàng)建針對服務的測試。

使用說明

　　需要用戶交互

　　這些是由于需要用戶提供 AppScan® 所無法提供的輸入而未發(fā)送的請求。您可以配置 AppScan 以提供輸入；請參閱“自動表單填充”視圖。 如果您遺漏了某些應用程序參數(shù)，或選擇不使用自動表單填充器，那么 AppScan 將會提供交互式 URL 列表供您復審。

　　您可以檢查交互式 URL 列表。 如果您想要掃描這些頁面，那么要提供“手動探索”中要求的用戶信息。

　　建議您仔細檢查交互式 URL 的列表，填寫所需數(shù)據(jù)，然后發(fā)送這些請求。 AppScan 之后將在“測試”階段包括這些 URL。

　　通過使 AppScan 能夠發(fā)送這些請求，站點中先前不可訪問的整個新部分可能得以訪問。因此，您訪問交互式 URL 后，應該重新探索您的應用程序（掃描 > 重新掃描 > 探索）。

　　導出掃描結果

　　掃描完成時，結果將顯示在主窗口上。 其他視圖（問題、修復、應用程序數(shù)據(jù)）提供經(jīng)過濾可使用的掃描結果。

　　您可以通過不同方法從 AppScan® 導出掃描結果：

　　配置并生成 AppScan 報告；導出為 PDF 或其他可讀可移植格式。

　　從“問題”中選擇測試變體，并允許 AppScan 將變體信息的 zip 文件附加到新電子郵件。 請參閱結果：安全問題。

　　從完整掃描結果中生成數(shù)據(jù)庫或 XML 文件。

　　修復任務：應用程序樹

　　應用程序樹顯示已掃描的應用程序的文件夾和文件。 樹中每個節(jié)點都有一個計數(shù)器，顯示節(jié)點中有多少項修復任務。 每個節(jié)點的計數(shù)將會等于或少于問題視圖的計數(shù)，這是由于一項修復任務可能會解決多個問題。

　　應用程序樹顯示以下級別的修復任務：

　　任務名稱

　　URL

　　參數(shù)或 cookie

　　針對若干 URL 上找到的問題而設計的單個任務以及其下的 URL 將列出一次。

　　在應用程序樹中選擇一個節(jié)點，以過濾結果列表，這樣將僅顯示所選節(jié)點的結果。