IBM Security AppScan是较常用的web安全扫描工具，可以用它来进行Web漏洞扫描，本文是简单使用的描述，不涉及深层次的原理。

本文使用IBM Security AppScan Standard 9.0.3.5，扫描浏览器为IE11。

阅读目录

1. 基本介绍
2. 前期设置
3. 扫描创建
4. 完全扫描

官方网站下载地址:  https://www.ibm.com/cn-zh/security/application-security/appscan

注意Appscan并不是免费，官方提供试用版本。

前期设置

Appscan扫描之前，需要录制浏览器登录系统信息。AppScan自带浏览器不太好用，会报莫名其妙的错误，因此需要设置外接浏览器。

在  工具->选项   的 扫描选项 标签页设置，如下图：

扫描创建

1、常规扫描：

 2、输入扫描起始路径。注意，这里如果是本地站点，不要使用localhost，而是使用127.0.0.1。连接成功，会进行 提示。

3、如 需要进行 连接设置，默认即可。

4、登录方法，在记录中，选择 使用外部浏览器(X)(Internet Explorer) 。弹出IE浏览器，进行登录，登录后退出。

注意，在浏览器打开期间，下一步 等按钮不能点。

如果弹出如下错误，根据提示设置即可：

自动检测设置和使用自动配置脚本，全部不选。

 如确认登录成功，并关闭浏览器后，弹出如下提示，选择是，然后继续。

5、设置完成，进行保存。保存后，会直接进行扫描专家扫描。

 扫描之前，可以在 扫描->扫描配置 中设置扫描策略：

设置后，点击 完全扫描，进行扫描：

扫描结束，可以点击 报告 进行导出pdf。