1、AppScan簡介 Rational AppScan（簡稱 AppScan）其實是一個產品家族，包括眾多的應用安全掃描產品，從開發階段的原始碼掃描的 AppScan source edition，到針對 Web 應用進行快速掃描的 AppScan standard edition，以及進行安全管理和彙總整合的 AppScan enterprise Edition 等。我們經常說的 AppScan 就是指的桌面版本的 AppScan，即 AppScan standard edition。其安裝在 Windows 作業系統上，可以對網站等 Web 應用進行自動化的應用安全掃描和測試。 AppScan 是對網站等 Web 應用進行安全攻擊來檢查網站是否存在安全漏洞；既然是攻擊，需要有明確的攻擊物件吧，比如北約現在的物件就是卡扎菲上校還有他的軍隊。對網站來說，一個網站存在的頁面，可能成千上萬。每個頁面也都可能存在多個欄位（引數），比如一個登陸介面，至少要輸入使用者名稱和密碼吧，這就是一個頁面存在兩個欄位，你提交了使用者名稱密碼等登陸資訊，網站總要有地方接受並且檢查是否正確吧，這就可能存在一個新的檢查頁面。這裡的每個頁面的每個引數都可能存在安全漏洞，所有都是被攻擊物件，都需要來檢查。 2、AppScan安全掃描常見問題及解決思路

2.1、SQL 注入 推理： 測試結果似乎指示存在脆弱性，因為響應包含 SQL Server 錯誤。這表明測試設法通過注入危險字元穿透了應用程式併到達 SQL 查詢本身。 解決方法：編寫攔截器或者過濾器，在請求方法執行之前判斷引數中是否含有SQL的特殊字元（and、or、1=1、insert、select、update、delete、drop、’），如果有給予提示，沒有則繼續執行後續操作。 2.2、已解密的登入請求 推理： AppScan 識別了不是通過 SSL 傳送的密碼引數。 解決方法：密碼使用MD5加密即可，即對input type為password的引數進行MD5解密操作。 2.3、查詢中的密碼引數 推理： AppScan 識別出查詢字串中接收到的密碼引數 解決方法：敏感欄位傳參時，需要使用MD5加密。 2.5、跨站點指令碼編制 推理： 測試結果似乎指示存在脆弱性，因為 Appscan 在響應中成功嵌入了指令碼，在使用者瀏覽器中裝入頁 面時將執行該指令碼。 解決方法：編寫攔截器處理跨站字元轉義。