IBM测试appscan教程

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。


成功后可以看到显示: 许可证:旧许可 类型:Enterprise Edition
www.sodi.com.cn
安全测试基本工作流程
扫描的原则
扫描的原则 “Appscan全面扫描”包含两个阶段:探索和测试。 探索阶段 在第一个阶段里,appscan会通过模仿成web用户单击链接并填写表单字段来探索站点( web应用程序或web server)这就是探索阶段。 探索阶段可以遍历每个URL路径,并分析后创建测试点。 测试阶段 “测试”期间,appscan会发送它在“探索”阶段创建的成千上万个定制的测试请求,通 过你定制好的测试策略分析每个测试的响应,最后根据规则识别应用程序中的安全问 题,并排列这些安全问题的风险级别。
如果你是第一次启动,屏幕中央将会出现一个“欢迎”对话 框。在此对话中,您可以点击“入门”链接,查看 IBM Rational AppScan 的“新手入门帮助文档”。
www.sodi.com.cn
也可以点击“创建新的扫描”来创建您的第一次Web安全扫描任务。

以下例子将选择“常规扫描”举例,点击右侧预定义模板中的“常规扫描”链接,将 出现“扫描配置向导”。 这里提供web应用程序和web server的扫描(如果需要web server的扫描必须先下载)
www.sodi.com.cn
实例
• 我们显示使用IBM提供的测试 Web 站点:http://demo.testfire.net。使用软件预定义的 模板,demo.testfire.net 会自动显示在“New Scan”对话框中。点击URL链接后的按钮 可以打开 APPSCAN浏览器查看网站是否可以正常连接
www.sodi.com.cn

Web安全扫描任务完成。

“结果传家”通常在全面扫描之后自动运行,但是它也可以在全面或部分扫描结果上 随时手动运行。如果测试时间有限的话,如果结果数量很大的话你可以决定不适用“ 结果专家”。
“安全报告”会提供扫描期间发现的 安全问题信息。 1.在工具菜单上,单击报告,然后选 择安全报告。 2.选择模板:管理综合报告、详细报 告、修复任务、开发者、QA、站 点目录。 注:可以通过你所需要的内容,在 右侧树中选择你报告所有体现的内 容 3.从最低严重性列表中,选择要包含 在报告中的问题最低严重性级别。 4.点击保存报告,自动生成报告;报 告提供PDA或WORD格式的保存 。
www.sodi.com.cn
•Fra Baidu bibliotek
自动保存
执行你的第一次Web安全扫描任务。
www.sodi.com.cn
在执行Web安全扫描任务的过程中,您可以随时查看已经检测出的Web安全问题。 扫描专家评估完成后,会显示所建议的配置更改核实表 。 这里要注意的是:如果存在用户输入的APPSCAN无法执行的更改,那么它们的复选 框会显示成灰色且为未选中状态,如果要修改这些更改,单击更改的链接
www.sodi.com.cn
内容索引
• • • • 系统需求 安装过程 许可证安装 简单的运行安全测试
www.sodi.com.cn
系统需求
安装 Rational AppScan
• “安装向导”会指导您快速简单地完成安装过程。
www.sodi.com.cn
许可证安装


由于新版7.8以前的产品的旧格式(.lic)许可证可以继续用于新版本的APPSCAN所以 可以使用以下方法进行破解。 解压AppScan7.8破解.rar 你会看到: patch.exe keygen.exe 如果没有看到keygen.exe那肯定被你的杀毒软件给干了. 解压之前一定要关掉所有杀毒的(包括关闭自动防护). 第一步: 打开patch.exe ---> patch --->Can not find the file. Search the file?--->是--->(AppScan 安装目录下)选中engine_control.dll--->OK 第二步: 打开keygen.exe ---> 在第一个框Team EDGE输入随便输入如:keygen --->Generate-->当前目录生成license.lic 第三步: 将自动生成的license.lic复制到APPSCAN的安装目录下。 第四步: 打开APPSCAN程序,单击帮助--->许可证--->装入旧格式(.lic)许可证
IBM APPSCAN安全测试工具基础
质量保证部 朱晟
内容概要
• Watchfire AppScan是业界第一款并且是领先的web应用 安全测试工具包,也是唯一一个在所有级别应用上提供全 面纠正任务的工具。AppScan扫描web应用的基础架构, 进行安全漏洞测试并提供可行的报告和建议。AppScan的 扫描能力,配置向导和详细的报表系统都进行了整合,简 化使用,增强用户效率,有利于安全防范和保护web应用 基础架构。 • 在商业安全扫描工具中,提供简体中文支持的,目前也只 有AppScan一个。
尝试一次简单的安全测试

启动 AppScan 应用程序,显示主窗体
www.sodi.com.cn
菜单栏:涵盖了 AppScan 中的所有可用功能 工具条:常用功能的快捷菜单,如开始扫描、扫描配置、扫描 专家等 左上部网站导航视图(应用程序树):在扫描过程中 AppScan 会按照一定的层次组织显示站点结构图(默认是按 照 URL 层次进行组织,用户可以在扫描配置中更改这一设置) 右上部安全问题显示视图(结果列表):AppScan 将在此视 图中列出检测到的所有安全缺陷 左下部安全问题汇总视图(仪表板):AppScan 将在此视图 中列出检测到的安全缺陷统计信息 右下部安全问题详细信息视图:此视图的内容与安全问题显示 视图相关,用来显示某特定安全问题的详细信息,包括问题介 绍、修复建议、测试数据等
www.sodi.com.cn
在弹出登录提示框时,用于登录这一测试站点的用户名及密码为: 用户名(Username): jsmith 密码(Password): Demo1234

选择适当的测试策略
www.sodi.com.cn
• •
完成扫描配置向导 完成配置后启动扫描专家的话,此时会关闭向导,并打开“扫描专家”面板,以评估 站点当前的配置。
相关文档
最新文档