🌝博客主页：泥菩萨

💖专栏：Linux探索之旅 | 网络安全的神秘世界 | 专接本

https://www.hcl-software.com/appscan

AppScan是一种综合型漏洞扫描工具，采用SaaS解决方案，它将所以测试功能整合到一个服务中，避免了因操作系统不同带来的安装问题

四个扫描模式：

• 动态分析（DAST）——黑盒扫描

  动态的web扫描，爬取目标网站的接口、链接，通过扫描器自身的扫描逻辑去发送一些特定的http请求数据包，根据服务端的返回内容来判断存在哪些漏洞

• 静态分析（SAST）——白盒扫描

  自动化的代码审计

  静态扫描工具：

  checkmark：非编译扫描，代码是什么样它就什么样

  fortify：编译扫描，需要一定的环境依赖

  codeql、Xcheck

• 交互式分析（IAST）

  ASoC使用安装在应用程序上的代理，通过监控所有的交互流量，在应用程序运行期间识别安全漏洞

  缺点：会影响到业务，不能保证插入代码的安全性

• 开源分析

  对应用程序中所使用的开源部分进行分析