AppScan在移动Web和APP安全测试中的应用指南

appscan的使用，除了可以用于电脑版web端的测试，还可以用于手机浏览器web端和APP的测试。之前写过电脑web的安全测试，现在将APP端的相关配置记录一下。

web版：[Web安全测试] AppScan使用教程_JoelyGo的博客-****博客

APPScan扫描移动端和APP应用程序的操作教程

1、打开AppScan

2、文件-->新建-->创建新的扫描，弹出配置向导窗口，选择第三项：使用外部客户机扫描

3、根据向导进行配置

记录代理配置

记录代理端口：可以选择自动分配端口，也可以自行设置固定端口。我选择的是自动分配端口

使用第三方客户机：选择远程

4、下一步，根据页面提示在本机安装SSL证书，界面如下

5、手机进行相关的配置

1）将手机和电脑接入到同一wifi，配置手机wifi的代理：IP是电脑本机的IP地址，端口是之前设置的端口，第3步在appscan界面有显示的，如下图所示。

注意：电脑和手机必须要在同一局域网下（连同一个WiFi）

2）手机浏览器访问http://appscan，如下图显示，下载并安装证书。下载完成后，手机连入到AppScan中，会提示是否将IP地址（手机IP地址）加入到白名单，点击允许。

注意：IOS安装后，需要在关于手机-->证书信任设置，信任刚安装的证书才可以使用AppScan代理

6、手机配置完后，appscan会弹出一个外部连接窗，点击允许

7、登录管理：因为外部设备测试需要手动遍历功能，不需要AppScan自动登录，所以这里不需要操作，不过也可以点击记录测试一下是否可以收到外部请求。

8、测试策略使用默认的，下一步，点击完成配置

9、完成配置后，进入外部流量记录器页面---这时，可以手动操作手机浏览器去访问移动端系统或者App应用程序进行功能遍历。

注意：手机需要杀掉除被测APP外的其它应用程序，操作功能试最好是有增删改查，尽量手动遍历所有的功能。

10、功能遍历结束，选择需要的域，点击确定后导入到AppScan中，开始进行扫描和探测。

测试完成之后，保存本次AppScan扫描测试的结果；从统计出的安全性问题，可以查看对应的漏洞链接、请求和响应、修复建议。