Appscan实现批量扫描站点

appscan的窗口模式中允许用户一次只能选择一个扫描目标,但是如果想批量扫描多个网站的时候

可以通过appscan安装文件夹下的AppScanCMD.exe工具来操作,具体操作如下。

(1)appscan窗口模式只能允许选择一个目标站点进行扫描

(2)进入appscan的安装文件夹,寻找AppScanCMD.exe工具

(3)CMD下打开AppScanCMD查看帮助文档,主要分为两个部分,一个是扫描执行,另外一个是报告生成。

C:\Program Files (x86)\IBM\AppScan Standard>AppScanCMD.exe -h
Program Usage:

AppScanCMD exec|ex|e
        Parametrs:
        [ /starting_url|/surl|/su <https://demo.testfire.net> ]
        [ /dest_scan|/dest|/d <full_path> ]
        [ /base_scan|/base|/b <full_path> ]
        [ /old_host|/ohost|/oh <https://demo.testfire.net> ]
        [ /new_host|/nhost|/nh <http://testing.testfire.net> ]
        [ /scan_template|/stemplate|/st <full_path> ]
        [ /login_file|/lfile|/lf <full_path> ]
        [ /multi_step_file|/mstepfile|/mf <full_path> ]
        [ /manual_explore_file|/mexplorefile|/mef <full_path> ]
        [ /policy_file|/pfile|/pf <full_path> ]
        [ /additional_domains|/adomains|/ad <demo.testfire.net123> ]
        [ /report_file|/rf <full_path> ]
        [ /report_type|/rt <Xml,Pdf,Rtf,Txt,Html,rc_ase> {xml} ]
        [ /min_severity|/msev <Informational,Low,Medium,High> {informational} ]
        [ /test_type|/tt <All,Application,Infrastructure,ThirdParty>]

        Flags:
        [ /verbose|/v {false} ]
        [ /scan_log|/sl {false} ]
        [ /explore_only|/eo {false} ]
        [ /test_only|/to {false} ]
        [ /multi_step|/mstep|/ms {false} ]
        [ /continue|/c {false} ]
        [ /merge_manual_explore_requests|/mmer {false} ]
        [ /include_responses|/ir {false} ]
        [ /open_proxy|/oprxy|/opr /listening_port|/lport|/lp <port number> ]

        可通过 base_scan 配置、保存 dest_scan 和创建报告来创建新的扫描,如果已配置的话。

AppScanCMD report|rep|r
        Parametrs:
        /base_scan|/base|/b <full_path>
        /report_file|/rf <full_path>
        [ /report_type|/rt <Xml,Pdf,Rtf,Txt,Html,rc_ase> {xml} ]
        [ /min_severity|/msev <Informational,Low,Medium,High> {informational} ]
        [ /test_type|/tt <All,Application,Infrastructure,ThirdParty> ]

        Flags:
        [ /verbose|/v {false} ]

        创建 base_scan 报告。
AppScanCMD close_proxy|cprxy|cpr

        如果先前已打开了 AppScan 代理,请将其关闭。

AppScanCMD help|h
        打印用途。

(4) 部分说明文档解释

(5)在appscan的安装目录下(C:\Program Files (x86)\IBM\AppScan Standard)写批处理文件source.bat,

目的是实现让appscan批量扫描站点,批处理文件的内容如下

@echo off
appscancmd /e /b C:\appscanCMD\website1.scan /d C:\appscanCMD\CompletedLog\website1.scan /v
appscancmd /e /b C:\appscanCMD\website2.scan /d C:\appscanCMD\CompletedLog\website2.scan /v
appscancmd /e /b C:\appscanCMD\website3.scan /d C:\appscanCMD\CompletedLog\website1.scan /v
pause

通过第四步的说明文档解释可知,首先在批处理文件中指明使用的工具命令为appscancmd;

其次使用【/e】参数指明执行扫描任务;【/b】参数指定格式为.scan的基础文件,需要注意的是该文件需要你

从appscan图形页面中生成一个你要扫描站点的配置文件并保存在本地,而【/b】参数就是该配置文件的绝对路径。

***生成配置文件的方法***

【/d】参数指明保存扫描后文件名称(包含绝对路径)。接下来就可以通过命令行来执行批量扫描了。

时间: 2024-10-09 22:57:52

Appscan实现批量扫描站点的相关文章

AppScan批量扫描网站

放假了,还有好些网站没有扫怎么办,就算使用TeamViewer远程也不可能及时,而且晚上也不方便.就在网上看能不能批量自动扫描,结果还真有.参考于:http://www.myhack58.com/Article/html/3/8/2013/40565.htm 使用也很简单直观. 打开AppScan和往常一样配置,只是在最后一步选择"我将稍后启动扫描". 然后保存在相应的路径下.如:D:\1.Scan.再关掉AppScan. 创建记事本写入一下内容:(文件后缀改为bat批处理文件.写入相

wwwscan网站目录文件批量扫描工具

准备一个比赛样题里面给的一个扫描的工具: 不知道怎么用就上网百度了一下果然有关于这个软件的两篇介绍(感觉写的很好),第一篇介绍的应该和我的工具一样,也给了例子(现在Google不能访问了)和参数介绍,第二篇作者可能自己"升级"过软件也提供了下载地址.但是有个问题是:我机器上跑感觉那些多进程.端口和超时等参数都是虚设的,我试验的结果是我的软件只要输入ip或域名就可以运行扫描. ps:直接copy 文章来源:http://blog.chinaunix.net/uid-26726420-id

sqlmap批量扫描burpsuite拦截的日志记录

1.功能上,sqlmap具备对burpsuite拦截的request日志进行批量扫描的能力 python sqlmap.py -l hermes.log --batch -v 3 --batch:会自动选择yes -l : 指定日志文件 -v: 调试信息等级,3级的话,可以看大注入的payload信息 2.如何配置burpsuite拦截扫描对象? 4.其他方式拦截的request日志文件,也可以 5.使用--smart智能探测效果不是很好,还是采用一些配置,加深扫描比较好 python sqlm

Burpsuite+sqlmap批量扫描sql漏洞

1.burpsuite设置导出log n'd'k 输入文件名保存 2.sqlmap批量扫描 python sqlmap.py -l 文件名 --batch -smart batch:自动选yes. smart:启发式快速判断,节约时间 中文支持可能存在问题 3.扫描的结果保存在 能注入的在上图csv文件中保存 注入的信息保存在对应的文件夹下的log文件,payload信息如下 来自为知笔记(Wiz)

BurpSuite导出log配合SQLMAP批量扫描注入点

sqlmap可以批量扫描包含有request的日志文件,而request日志文件可以通过burpsuite来获取, 因此通过sqlmap结合burpsuite工具,可以更加高效的对应用程序是否存在SQL注入漏洞进行地毯式的扫描. 1.首先是burp设置记录log,文件名就随便填一个了. 2.把记录的log文件放sqlmap目录下 3.sqlmap读log自动测试: python sqlmap.py -l 文件名 --batch -smart batch:自动选yes. smart:启发式快速判断

WebScarab 自动化批量扫描

自动化批量扫描:http://blog.csdn.net/danqingdani/article/details/6366645 自动化批量扫描:http://bhyygvhic.blog.sohu.com/265096135.html

sqlmap批量扫描burpsuite请求日志记录

sqlmap可以批量扫描包含有request的日志文件,而request日志文件可以通过burpsuite来获取, 因此通过sqlmap结合burpsuite工具,可以更加高效的对应用程序是否存在SQL注入漏洞进行地毯式的扫描. 扫描方式通常有windows扫描与linux扫描两种. 一.Windows下扫描配置 1.配置burpsuite下记录所有的request记录,并保存在指定文件夹. 因为windows下sqlmap工具需要使用python,所以我的sqlmap路径放在了C:\Pytho

批量扫描IP端口程序 (适用于window&amp;linux)

批量扫描IP端口,根据扫描IP导出IP命名的文件的结果.假设1.txt文件内容为127.0.0.1192.168.1.1然后我们获取文件内容IP进行扫描window .bat版本 :1.txt为文件名,根据需求进行修改 :C:\nmap\nmap-6.46\nmap.exe 为namp的路径,根据需求进行修改 :把1.txt与该扫描脚本放一起 @echo off for /f "delims=." %%i in (1.txt) do C:\nmap\nmap-6.46\nmap.exe

Appscan安全漏洞扫描使用(转)

这里主要分享如何使用AppScan对一大项目的部分功能进行安全扫描. ------------------------------------------------------------------------ 其实,对于安全方面的测试知道的甚少.因为那公司每个月要求对产品进行安全扫描.掌握了一人点使用技巧,所以拿来与大家分享. 因为产品比较大,功能模块也非常之多,我们不可能对整个产品进行扫描.再一个每个测试员负责测试的模块不同.我们只需要对自己负责测试的模块扫描即可. 扫描工具自然是IBM