IBM Rational AppScan Standard(Web網站漏洞掃描器)是一個適合安全專家的Web應用程序和Web服務滲透測試軟件。軟件是一個比較強大的網站漏洞掃描器，功能強大且使用容易。

基本簡介

　　網絡掃描是滲透測試的第一步，其目的在于發現目標的操作系統類型、開放端口等基本信息，為后面的掃描工作做基礎。事實上，利用操作系統本身的一些命令如ping、telnet、nslookup等也可以對目標的信息進行判斷，但是利用專業的工具可以給出更加全面和準確的判斷。IBM AppScan該產品是一個領先的 Web 應用安全測試工具，曾以 Watchfire AppScan 的名稱享譽業界。Rational AppScan 可自動化 Web 應用的安全漏洞評估工作，能掃描和檢測所有常見的 Web 應用安全漏洞，例如 SQL 注入（SQL-injection）、跨站點腳本攻擊（cross-site scripting）、緩沖區溢出（buffer overflow）及最新的 Flash/Flex 應用及 Web 2.0 應用曝露等方面安全漏洞的掃描。

軟件特色

　　1.測試階段

　　在第二個階段，AppScan 將發送它在探索階段創建的數千個定制測試請求。 它使用定制驗證規則記錄和分析應用程序對每個測試的響應。 這些規則既可識別應用程序內的安全問題，又可排列其安全風險級別。

　　2.無 Web 服務的站點

　　如果是沒有 Web 服務的站點，那么為 AppScan? 提供起始 URL 和登錄認證憑證可能足以使其能夠測試站點。如有必要，還可以通過 AppScan 手動搜尋站點，以便能夠訪問僅通過特定用戶輸入才能到達的區域。

　　3.Web服務

　　為了能夠有效掃描 Web Service，AppScan 安裝包含一項工具，用戶通過它可查看 Web 服務中整合的各種方法，處理輸入數據以及檢查來自服務的反饋。

　　您首先需要為 AppScan 提供服務的 URL。 集成的“通用服務客戶機 (GSC)”使用服務的 WSDL 文件以樹格式顯示可用的單獨方法，并且會創建用于向服務發送請求的用戶友好 GUI。您可以使用此界面輸入參數和查看結果。此過程由 AppScan 進行“記錄”，并且用于在 AppScan 掃描站點時創建針對服務的測試。

　　4.需要用戶交互

　　這些是由于需要用戶提供 AppScan所無法提供的輸入而未發送的請求。您可以配置 AppScan 以提供輸入；請參閱“自動表單填充”視圖。 如果您遺漏了某些應用程序參數，或選擇不使用自動表單填充器，那么 AppScan 將會提供交互式 URL 列表供您復審。

功能介紹

　　1.Flash支持

　　Appscan相對早期的版本增加了flash支持功能，它可以探索和測試基于Adobe的Flex框架的應用程序，也支持AMF協議。

　　2.Glass box testing

　　Glass box testing是Appscan中引入的一個新的功能.這個過程中，安裝一個代理服務器,這有助于發現隱藏的URL和其它的問題。

　　3.Web服務掃描

　　Web服務掃描是Appscan中具有有效自動化支持的一個掃描功能。

　　4.Java腳本安全分析

　　Appscan中介紹了JavaScript安全性分析,分析抓取html頁面漏洞，并允許用戶專注于不同的客戶端問題和DOM(文檔對象模型)為基礎的XSS問題。

　　5.報告

　　根據你的要求，可以生成所需格式的報告。

　　6.修復支持

　　對于確定的漏洞,程序提供了相關的漏洞描述和修復方案.

　　7.可定制的掃描策略

　　Appscan配備一套自定義的掃描策略,你可以定制適合你需要的掃描策略。

　　8.工具支持

　　它有像認證測試，令牌分析器和HTTP請求編輯器等,方便手動測試漏洞.