appscan代理篇

利用Appscan对REST Web service进行安全扫描

对于REST类型的web服务，通过解读IBM的官方文档，可以知道主要有两种方法：

1.     对调用服务的应用程序进行手工探索调用该服务，从而进行安全扫描；

2.     利用代理使用“外部流量/客户机”进行安全扫描。

操作步骤如下

1.新建

2.选择【外部设备/客户机（AppScan作为记录代理）】

3.选择【该机器上的外部客户机】

备注： 记录下端口和代理IP

4.下一步，下一步

5.选择已配置好的【测试策略】

6.下一步，完成

7.打开postman，配置代理和端口

8.postman提交参数，发送请求

 

9.停止记录

 

备注：确定后，等程序自动扫描录制抓包

10.手动测试

11.输出报告