一、安裝

1、右鍵安裝文件，以管理員身份運行，如下圖所示：

2、點擊【確定】

3、點擊【安裝】

4、選擇：我接受許可協議中單位全部條款，點擊【下一步】

5、點擊【安裝】到該目錄

6、如果需求掃描Web services點擊【是】安裝該插件，如果不需要點擊【否】如果只是掃描web就不需要安裝

7、點擊【完成】

8、安裝完成之後把LicenseProvider.dll文件將它復制放到安裝目錄下覆蓋原來的

二、使用步驟

1、打開AppScan軟件，點擊工具欄上的 文件–>新建，出現一個dialog

2、點擊“Regular Scan”，出現掃描配置向導頁面，這裏是選擇“AppScan(自動或手動)“，如圖：

3、輸入掃描項目目標URL

4、點擊”下一步“，選擇認證模式，出現登錄管理的頁面，這是因為對於大部分網站，需要用戶名和密碼登錄進去才可以查看許多內容，未登錄的情況下就只可以訪問部分頁面。【用於登錄測試項目站點的用戶名及密碼,例如：用戶名：admni密碼“12345】

5、點擊”下一步“，出現測試策略的頁面，可以根據不同的測試需求進行選擇

6、點擊”下一步“，出現完成配置向導的界面，這裏使用默認配置，可根據需求更改，如下圖：

7、點擊”完成“，設置保存路徑，即開始掃描，如下圖：

掃描設置：

在測試策略中，有多種不同的分組模式，最經常使用的是“嚴重性”，“類型”，“侵入式”、“WASC威脅分類”等標準，根據不同分組選擇的掃描策略，最後組成一個共同的策略集合。

測試策略選擇步驟如下：

1.選擇缺省的掃描策略，切換到按照“類型”分類，取消掉“基礎結構”和“應用程序”兩種類型。

說明：把掃描策略置空，沒有選擇任何的掃描策略。在分組類型中選擇“類型”分類，類型分類中只有兩種類型：“基礎結構”和“應用程序”，可以快速全部都取消掉。

2.分組類型，切換到“WASC威脅分類”，選擇“SQL註入”和“跨站點腳本編制”。

3.分組類型，切換到“類型”，發現這時候“基礎結構”和“應用程序”兩種類型的掃描策略都是選擇上的模式，而且是虛線，說明這兩種類型下均有部分掃描策略被選擇了，我們不關心“基礎結構”級別的安全問題，所以在這裏取消“基礎結構”。

4.分組類型，切換到“侵入式”，發現這時候“侵入式”和“非侵入式”兩種類型的掃描策略都是選擇上的模式。“侵入式”會有有比較強的副作用，可能對系統造成傷害，所以一般掃描生產系統的時候，很少選擇。這裏把“侵入式”的用例取消掉。

把選擇好的測試策略，我們可以把它導出成一個模板，方便以後使用：

APPScan安裝與使用教程