appscan使用资料文档
AppScan使用指导书

AppScan操作手册
CCII/TI-06
AppScan版本:9.0
编制人:王雷
审核人:张莹
发布时间:2018年3月11日
一、打开AppScan软件,点击工具栏上的文件–> 新建,出现一个dialog,如图所示:
这里写图片描述
二、点击“Regular Scan”,出现扫描配置向导页面,这里是选择“Web应用程序扫描“,如图:
这里写图片描述
三、点击”下一步“,出现URL和服务器的配置页面,如图,输入需要测试的URL。
这里写图片描述
四、点击”下一步“,出现登录管理的页面,这是因为对于大部分网站,需要用户名和密码登录进去才可以查看许多内容,未登录的情况下就只可以访问部分页面。
这里写图片描述
这里选择使用的登录方法是自动,即需要输入用户名和密码。
如果选择的是记录,则需要对登录过程进行录入,在录入的过程中,appscan可以记住一些url,方便进行扫描。
五、点击”下一步“,出现测试策略的页面,可以根据不同的测试需求进行选择,这里选择的是”完成(Complete)“,即进行全面的测试,
这里写图片描述
六、点击”下一步“,出现完成配置向导的界面,这里使用默认配置,可根据需求更改,如下图:
这里写图片描述
七、点击”完成“,设置保存路径,即开始扫描,如下图:
这里写图片描述
八、待扫描专家分析完毕,点击”扫描–> 继续完全扫描“即可。
这里写图片描述
九、等待测试完毕,即可分析结果。
AppScan 标准版与源码版功能介绍

IBM Security AppScan系列介绍IBMSecurity AppScan系列介绍ﻩ1IBMSecurity AppscanStandard V8、8介绍ﻩ1简介 (1)一、安装ﻩ1二、破解ﻩ2三、使用 (2)扫描方式一:ﻩ2附:扫描方式二ﻩ7生成报告ﻩ10IBM Security AppScan Source V8、7介绍ﻩ1313简介ﻩ一、安装ﻩ1314二、破解ﻩ三、使用 (16)IBM Security Appscan StandardV8、8介绍简介IBM SecurityAppScan就是专门面向Web应用安全检测得自动化工具,就是对Web应用与Web Services 进行自动化安全扫描得黑盒工具。
它不但可以简化企业发现与修复Web 应用安全隐患得过程(这些工作以往都就是由人工进行,成本相对较高,效率低下),还可以根据发现得安全隐患,提出针对性得修复建议,并能形成多种符合法规、行业标准得报告,方便相关人员全面了解企业应用得安全状况。
利用IBM SecurityAppScan,应用程序开发团队在项目交付前,可以对所开发得应用程序与服务进行安全缺陷得扫描,自动化检测Web 应用得安全漏洞,从网站开发得起始阶段就扫除Web应用安全漏洞。
一、安装1、安装IBM Security AppScanStandard V8、8之前请确认已经成功安装好Microsoft、Net Framework4、5。
2、双击进行安装。
一路Next即可。
二、破解将文件拷贝至\IBM\AppScanStandard目录下替换源文件即可。
运行IBM AppScan Standard后显示演示许可证,但就是可以正常进行web网页扫描。
由于破解后依然为演示许可证,所以不可以进行系统更新。
三、使用扫描方式一:1、双击运行程序。
2、直接点击【扫描】选择【完全扫描】即可。
3、提示需要指定URL信息,点击【就是(Y)】4、在此处输入需要扫描得WEB页面URL5、点击【登录管理】,如果需要扫描得web没有登录得逻辑或者不需要关心登录后得网页扫描,则不用修改该页面下得配置。
AppScan使用手册

本人英语能力有限,如有错误请见谅。
——译者这个向导是AppScan 用户向导手册和AppScan 在线帮助的补充(fairyox)。
主要目的是为这个产品做介绍,如果需要更多的资料和详细的说明书请参阅用户手册和在线帮助1安装1.1 AppScan安装将AppScan 安装保存在计算机中,双击它,然后根据提示操作。
1.2注册文件安装AppScan 安装中包括一个允许扫描指定站点的注册文件(见章节1.4),但是不能扫描其他站点。
扫描其他站点需要得到IBM 授予的合法注册文件。
这样就可以扫描其他站点并读取和保存扫描模版,否则不能运行其他站点的扫描。
安装扫描文件:1. 打开AppScan2. 在帮助菜单选择License3. 如果已经有注册文件:点Load License File,找到注册文件,点Open。
或者在网上获得注册文件:确认连接好Internet 网,点Obtain License Online,然后根据提示操作4. 点ok 关闭注册对话框。
1.3升级IBM 每天升级AppScan 的应用弱点数据库。
每次AppScan 会自从从IBM 搜索、安装升级补丁。
用户也可以随时手动升级:打开AppScan,点击升级,根据提示操作。
1.4 AppScan的试用版如果您在使用AppScan 的试用版,注册文件只允许您对IBM Rational AppScan 定制的测试站点进行测试:AppScan下载:https:///securearea/appscan.aspxView Selector 视图选择 选择三个按钮中的一个来选择三个窗口数据显示的类型。
Application Tree 应用树 AppScan 收集扫描结果时会把他们显示在应用树中;在扫描 结束时应用树显示所有 AppScan 在应用中找到的文件夹、 URL 和文件。
Result List 结果列表 显示应用树中被选节点有关的结果。
Detail Pane 细节 显示结果列表中被选项的详细信息,在三个页面分别显示报 告、建议和请求/响应。
安全测试工具appscan的安装与使用

二、AppScan IBM Rational AppScan Standard Edition 是一种自动化 Web 应用程序安全性测试引 擎,能够连续、自动地审查 Web 应用程序、 测试安全性问题,并生成包含修订建议的 行动报告,简化补救过程。 在商业安全扫描工具中,提供简体中文 支持的,目前也只有AppScan一个。
一个存在SQL注入点的页面 在中输入site: inurl:login 关 键字搜索得到后台的URL,如下图所示
进入后的页面
根据下图标注,可以猜出其大概SQL语句类似于
SELECT *FROM [users] where username=? AND password=?
下载:51testing
三、软件安装 1.可能需要联网下载必要的插件 2.基本可以按安装向导进行,需要注意 的是最后安装完成后需要将安装包中的 ‚LicenseProvider.dll‛复制粘贴到appscan 安装路径‚..\..\IBM\AppScan Standard‛ 目录下同名文件,否则在使用时一直会提 示安装许可证,导致软件无法正常使用
9.自动保存
10.软件界面
初步探测完成,接下来继续进行全 报告‛会提供扫描期间发现的安全问题 信息。 我们可以通过最后的扫描结果和安全 报告了解到存在的问题及问题介绍等信 息。
一个检测SQL注入的工具:pangolin
注入往往是应用程序缺少对输入进行安全性 检查所引起的,攻击者把一些包含指令的数 据发送给解释器,解释器会把收到的数据转 换成指令执行。常见的注入包括SQL注入, OS Shell,LDAP,Xpath,Hibernate等等,而 其中SQL注入尤为常见。这种攻击所造成的后 果往往很大,一般整个数据库的信息都能被 读取或篡改,通过SQL注入,攻击者甚至能够 获得更多的包括管理员的权限。
AppScan操作手册

AppScan操作⼿册AppScan操作⼿册1.SQL注⼊1.1.什么是sql注⼊所谓SQL注⼊(SQL Injection),就是利⽤程序员对⽤户输⼊数据的合法性检测不严或不检测的特点,故意从客户端提交特殊的代码,从⽽收集程序及服务器的信息,获取想得到的资料(如数据库⽤户名、密码、表结构等)。
SQL注⼊是从正常的WWW端⼝访问,⽽且表⾯看起来跟⼀般的Web页⾯访问没什么区别,所以⽬前市⾯的防⽕墙都不会对SQL注⼊发出警报。
动态⽣成Sql命令时没有对⽤户输⼊的数据进⾏验证是Sql注⼊攻击得逞的主要原因。
1.2.sql注⼊原理攻击者会将⼀些恶意代码插⼊到字符串中,然后会通过各种⼿段将该字符串传递到SQLServer数据库的实例中进⾏分析和执⾏。
只要这个恶意代码符合SQL语句的规则,则在代码编译与执⾏的时候,就不会被系统所发现。
SQL注⼊式攻击的主要形式有两种:⼀是直接将代码插⼊到与SQL命令串联在⼀起并使得其以执⾏的⽤户输⼊变量,由于其直接与SQL语句捆绑,故也被称为直接注⼊式攻击法。
⼆是⼀种间接的攻击⽅法,它将恶意代码注⼊要在表中存储或者作为原数据存储的字符串。
在存储的字符串中会连接到⼀个动态的SQL命令中,以执⾏⼀些恶意的SQL代码。
2.AppScan注册2.1.注册步骤1.将patch.exe⽂件当到APPSCAN的安装⽬录(如:D:\Program Files\IBM\Rational AppScan)下,运⾏。
2.运⾏keygen.exe,⽣成lince.lic⽂件。
打开APPSCAN,帮助-》许可证-》装⼊旧格式(.lic)的许可证,将刚才⽣成的.lic⽂件装载。
3.新建扫描任务3.1.扫描模板选择打开AppScan⼯具,点击“新建”,会弹出⼀个扫描模板选择框,⼀般选择“常规扫描” 或者⾃⼰定义的模板。
下⼀步会进⼊扫描配置向导,选择执⾏的扫描类型,默认是“Web应⽤程序扫描”,点击“下⼀步”,输⼊“起始URL”3.2.登录管理进⼊登录管理,因为有些页⾯需要登录后才能做有效的扫描,这⾥记录的是登录所需信息,便于扫描时能登录应⽤程序。
Appscan使用之扫描结果分析 -

本文将介绍针对扫描结果的分析,也是一次完整的渗透测试必须经历的环节。
扫描开始的时候,AppScan会询问是否保存扫描结果,同时下方有进度条显示扫描的进度。
在扫描过程中,如果遇到任何连接问题或者其他任何问题,可以暂停扫描并在稍后继续进行。
如之前讲的扫描包括两个阶段-探索、测试。
AppScan中的Scan Expert和HP WebInspect中的建议选项卡类似。
Scan Expert分析扫描的配置,然后针对变化给出配置建议,目的是为了更好的执行一次扫描,可以选择忽略或者执行这些建议。
AppScan的窗口大概分三个模块。
Application Links(应用链接),Security Issues(安全问题),and Analysis(分析)如下图所示:Application Links Pane(应用程序结构)这一块主要显示网站的层次结构,基于URL和基于内容形式的文件夹和文件等都会在这里显示,在旁边的括号里显示的数字代表存在的漏洞或者安全问题。
通过右键单击文件夹或者URL可以选择是否忽略扫描此节点。
Dashboard窗格会根据漏洞严重程序,高中低列出网站存在的问题情况,一次Dashboard将反映一个应用程序的整体实力。
Security Issues Pane(安全问题)这个窗格主要显示应用程序中存在的漏洞的详细信息。
针对每一个漏洞,列出了具体的参数。
通过展开树形结构可以看到一个特定漏洞的具体情况,如下所示:根据扫描的配置,AppScan会针对各种诸如SQL注入的关键问题,以及像邮件地址模式发现等低危害的漏洞进行扫描并标识出来,因为扫描策略选择了默认,AppScan会展示出各种问题的扫描情况。
右键单击某个特定的漏洞可以改变漏洞的严重等级为非脆弱,甚至可以删除。
Analysis Pane(分析)选择Security Issues窗格中的一个特定漏洞或者安全问题,会在Analysis窗格中看到针对此漏洞或者安全问题的四个方面:Issue information(问题信息),Advisory(咨询)、Fix Recommendation(修复建议), Request/Response(请求/相应).Issue information(安全问题信息)Issue information 标签下给出了选定的漏洞的详细信息,显示具体的URL和与之相关的安全风险。
appscan安全扫描工具使用步骤

目录1.工具安装 (2)1.1工具包 (2)1.2安装步骤 (2)2.安全扫描 (2)2.1前提条件 (2)2.2扫描设置 (2)1.工具安装1.1工具包在服务器上拷贝最近的压缩包,到本地进行解压,压缩包中包含内容如下:1.2安装步骤1、先安装AppScan8.0_Setup.exe,再次安装8.0.0.3-AppScan_Setup.exe2、拷贝patch.exe、Keygen.exe到Appscan 安装目录如:C:\Program Files\IBM\Rational AppScan3、双击运行patch.exe4、双击运行Keygen.exe,生成license.lic5、拷贝生成的license.lic到Appscan目录下的license文件夹中,如:C:\ProgramFiles\IBM\Rational AppScan\License6、在开始-运行点击IBM Rational Appscan 8.0 启动安全扫描工具2.安全扫描2.1前提条件扫描的软件是B/S结构,验证码去掉或者已经写死。
扫描一般分为前后台扫描,开发提供安全扫描的地址URL,用户名和密码。
2.2扫描设置1、打开工具,点击【创建新的扫描】-【常规扫描】-【下一步】2、输入要扫描的URL地址,如图:3、点击【下一步】,在弹出框中点击【记录】4、在弹出的扫描界面输入用户名、密码、验证码,点击登录,登录成功点击退出5、点击【完全扫描配置】弹出“扫描配置”界面,在【登录管理】中点击“详细信息”如图:6、在“登录序列”中选中“会话中”点击右键,修改为:忽略7、点击【环境定义】选择:web服务器、应用程序服务器、数据库类型、第三方组件(由当前系统环境结构进行选择),其他参数项参照如下如:8、测试策略参照如下选择:9、点击【下一步】-【完成】10、弹出保存框,选择文件保存地址2.3扫描结果扫描结束后,点击【报告】导出报告,如图:点击【文件】-【另存为】保存扫描结果的Appscan文件。
安全测试appscan操作手册-手动探索完全扫描的区别

Appscan操作手册(手动探索/完全扫描的区别)1.首先下载Appscan的安装包建议现在安装appscan9.0/8.0的版本比较好2.安装Appscan二、操作流程1.双击图标,打开Appscan软件2.打开软件后,页面显示如下:3.选择“文件-新建”,弹出如下的窗口:4.点击“常规扫描”,页面如下:5.选择“Appscan(自动或手动)”,点击下一步,如图:6.在“起始URL”处输入将要扫描的系统的URL,点击下一步,如图:7.选择“自动”,输入用户名和密码,如图:8.点击下一步,如图:9.默认,点击下一步,如图:注:一般常用的是“启动全面自动扫描”和“使用“手动探索”启动”,二者区别如下:1)启动全面自动扫描:工具自动对系统进行扫描,扫描完毕后会显示扫描结果。
不过使用此种方式扫描不全,类似插件的模块扫描不到。
2)使用“手动探索”启动:测试人员可以自由灵活的对所有模块进行扫描操作,扫描结果更加细致。
下面以手动探索为例。
10.选择“使用“手动探索”启动,点击完成。
通过浏览器打开扫描的页面,如下:11.进行测试操作,录制脚本,脚本录制完毕后,关闭浏览器。
Appscan页面显示录制的脚本信息,如下图:12.点击“导出”按钮,保存录制的脚本,关闭窗口。
点击“文件-导入-探索数据”,选择刚才录制的脚本。
13.脚本添加完毕,如下图:14.点击“扫描-继续仅探索”15.弹出如下窗口:16.选择“是”,保存扫描结果后,开始进行扫描操作。
17.扫描停止后,点击“扫描-仅测试”,如下图:18.开始进行安全测试,捕获漏洞,如下图:注:下方显示扫描进度。
19.扫描完毕后,扫描界面显示如下图:注:1)界面中间显示存在的漏洞类型,展开可查看漏洞的URL;2)右侧显示具体的漏洞信息,可查看详情20.点击界面的“报告”按钮,如下图所示:21.勾选“在每个问题之后加入分页(PDF)”,勾选左侧的全部信息(为使报告更加详细),如下图:22.点击“保存报告”,可将报告保存到本地电脑。
APPSCAN扫描说明

APPSCAN扫描说明安装Appscan之前,关闭所有打开的应用程序。
点击安装文件,会出现安装向导,如果你还没有安装.Net framwork,Appscan安装过程会自动安装,并需要重新启动。
按照向导的指示,可以很容易的完成安装.如果你使用的是默认许可,你将只允许扫描appscan中的测试网站。
要扫描自己的网站,需要付费购买许可版本.探索和测试阶段:在我们开始扫描之前,让我们对Appscan的工作做一个了解.任何自动化扫描器都有两个目标:找出所有可用的链接和攻击寻找应用程序漏洞。
探索(Explore):在探索阶段,Appscan试图遍历网站中所有可用的链接,并建立一个层次结构。
它发出请求,并根据响应来判断哪里是一个漏洞的影响范围。
例如,看到一个登陆页面,它会确定通过绕过注入来通过验证.在探索阶段不执行任何的攻击,只是确定测试方向.这个阶段通过发送的多个请求确定网站的结构和即将测试的漏洞范围。
测试(Test):在测试阶段,Appscan通过攻击来测试应用中的漏洞.通过释放出的实际攻击的有效载荷,来确定在探索阶段建立的安全漏洞的情况.并根据风险的严重程度排名。
在测试阶段可能回发现网站的新链接,因此Appscan在探索和测试阶段完成之后会开始另一轮的扫描,并继续重复以上的过程,直到没有新的链接可以测试。
扫描的次数也可以在用户的设置中配置.1. 新建扫描2.点击完全扫描配置,弹出以下窗口。
选择环境定义,并对网站使用的web服务器,应用程序服务器,数据库服务器进行按网站的配置填写。
完成后点确定,并再点扫描目标笛导下一步。
弹出以下窗口。
通过保存策略,实现扫描的时自动扫描信息记录,同时便于下次直接打开。
保存完成之后,系统自动开始扫描。
扫描的过程中,可以看到右下角的扫描到的问题。
分为高危,中危,低危。
以下右下角可以查看具体的问题以及修复的任务。
扫描完成后,可以开始报告。
报告类型可以使用安全性方式报告,直观显现问题所在,以及问题修复点,点预览,可以出现以下报告查看窗口,再点保存,可以保存本报告。
跟我学IBM AppScan Web安全检测工具——AppScan软件工具的基本功能和应用

1.1跟我学IBM AppScan Web安全检测工具——AppScan软件工具的基本功能和应用1.1.1启动AppScan软件1、将出现下面的启动界面2、提示要求修改IE的配置。
点击对话框中的“确定”按钮,以允许AppScan进行更改。
AppScan然后将退出,需要重新启动AppScan。
3、欢迎屏幕本示例选择“取消”按钮,最终将出现下面的结果界面——欢迎屏幕。
4、可以开始新的扫描过程点击其中的“Create New Scan”(创建新的扫描)将可以开始扫描一个新的Web应用程序,并打开新建扫描的对话框。
1.1.2AppScan软件的主界面1、AppScan启动后的主界面示图(1)菜单栏的主要功能其中的“菜单栏”对AppScan的所有命令都可以从菜单栏中找到,有一些常用的命令没有放在“工具栏”中,例如:经常用到的命令“重新测试”在工具栏中是不会出现的,路径是“扫描->重新扫描”。
而对于某些用户可能经常用到的Web Service的扫描测试也只能在菜单栏中找到,路径是“扫描->探索Web service”。
(2)工具栏的主要功能1)扫描通过“扫描”按钮,在建立测试、完成扫描配置的以后,可以控制AppScan的扫描阶段——探索、测试、完全扫描。
2)手动探索通过“手动探索”按钮,在需要对“爬虫”无法自动探索到的页面进行测试的时候,可以启动AppScan自带的浏览器,在人工访问系统的方式中探索系统页面。
3)配置通过“配置”按钮,可以对扫描的策略进行配置。
4)报告通过“报告”按钮,可以对目前的扫描进度进行安全测试报告的生成。
下面为创建检测报告的过程示图。
5)扫描日志通过“扫描日志”按钮,可以实时的了解目前AppScan的安全测试用例执行情况。
(3)应用程序树在这个窗口里中主要显示被检测的Web应用系统的层次结构——站点结构图,基于URL和基于内容形式的文件夹和文件等都会在这里显示;其中以“基于URL”的方式观察被检测的系统,可以了解已探索的Web应用结构,而以“基于内容的”方式观察被检测的系统,可以了解已探索的Web应用结构,但是都是以标题属性进行分类。
App Scan 使用手册

App Scan 使用手册2015年8月文档信息版本记录版本日期修改者说明目录1概述 (4)1.1目的 (4)1.2适用范围 (4)2使用说明 (5)2.1工具介绍 (5)2.2安装介绍 (5)2.2.1系统需求 (5)2.2.2安装过程 (5)2.3使用步骤介绍 (6)2.3.1基本工作流程 (6)2.3.2扫描原则 (6)2.3.3测试执行 (7)2.4测试目的 (14)1概述1.1目的提供App Scan的使用说明,保证用户对于工具的快速熟练使用.1.2适用范围本文档是针对于不了解App Scan的测试人员而制定的。
2使用说明2.1工具介绍•AppScan是业界第一款并且是领先的web应用安全测试工具包,也是唯一一个在所有级别应用上提供全面纠正任务的工具。
AppScan扫描web应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。
AppScan的扫描能力,配置向导和详细的报表系统都进行了整合,简化使用,增强用户效率,有利于安全防范和保护web应用基础架构。
•在商业安全扫描工具中,提供简体中文支持的,目前也只有AppScan一个。
2.2安装介绍2.2.1系统需求2.2.2安装过程“安装向导”会指导您快速简单地完成安装过程(一直下一步即可);安装完成后,将共享盘下的dll文件覆盖到安装目录,完成破解。
2.3使用步骤介绍2.3.1基本工作流程2.3.2扫描原则“Appscan全面扫描”包含两个阶段:探索和测试。
探索阶段在第一个阶段里,appscan会通过模仿成web用户单击链接并填写表单字段来探索站点(web应用程序或web server)这就是探索阶段。
探索阶段可以遍历每个URL路径,并分析后创建测试点。
测试阶段“测试”期间,appscan会发送它在“探索”阶段创建的成千上万个定制的测试请求,通过你定制好的测试策略分析每个测试的响应,最后根据规则识别应用程序中的安全问题,并排列这些安全问题的风险级别。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、环境搭建1. 软件下载官网下载地址:https:///developerworks/cn/downloads/r/appscan/破解版下载地址:/s/1dFFti85密码:u7z32. 软件安装直接运行安装包,按照提示安装即可3. 软件破解将破解补丁替换“..\..\IBM\AppScan Standard”安装目录下同名文件二、测试流程以下内容以appscan9.0为例1. 启动appscan点击运行appscan.exe即可2. 创建扫描1)在欢迎页面选择->创建新的扫描…,打开新建扫描面板,如下图:2)9.0没有综合扫描模板,一般选择常规扫描模板,选择模板后打开扫描配置面板,如下图:3)在扫描向导中选择扫描类型,一般选择web应用程序扫描;若要选择web service扫描,需安装GSC;除了按照提示一步步操作,也可以点击右下角完全扫描配置进行扫描配置(具体可参照二.3);选择完扫描类型后,点击下一步打开配置URL和服务器面板,如下图:4)起始URL中输入要扫描的站点,可以是域名格式,也可以是IP格式;如果勾选了“仅扫描此目录中或目录下的链接”,则会只扫描起始URL目录或者子目录中的链接;区分大小写的路径:如果选中,则大小写不同的链接会被视为两个页面,如A.apsx和a.spsx;建议linux或UNIX服务器时勾选,windows服务器时不勾选;其他服务器和域:如果应用程序包含的服务器或域不同于“起始URL”包含的服务器或域,则应该添加到此处,如和二级域不同;我需要配置其他连接设置:缺省情况下,AppScan 会使用Internet Explorer 代理设置,默认不勾选,若勾选,点击下一步会打开配置代理页面;配置完成后,点击下一步打开登录管理面板,如下图:5)登录管理提供4种选项:a)记录:推荐使用,选择此项,appscan将使用所记录的登录过程,从而像实际用户一样填写字段。
单击记录按钮,打开自带浏览器记录登录过程,登录完成后关闭浏览器,会自动将登录过程列出。
b)提示:如果每次登录都需要人机交互,请选择该选项。
您必须仍然记录登录过程。
虽然AppScan 将不会使用您记录的过程来尝试登录,但是它需要将该过程作为参考来了解何时已被注销。
c)自动登录:如果AppScan 可仅使用名称和密码来登录,而不需要特定的过程,请选择该选项,然后输入“用户名”和“密码”。
d)不登录:仅当应用程序不需要登录时,或因为其他原因,您不想AppScan 登录时,才选择该选项。
若账号密码错误,会提示:回话页面未识别,需修改登录管理方式或登录账号密码如果选中我想要配置会话中检测选项复选框,那么在单击下一步时,将会打开一个附加的向导步骤:登录管理:“其他”设置。
默认不选中。
登录管理配置完成后,点击下一步,打开测试策略面板,如下图:a.发送登录和注销页面上的测试:缺省情况下,AppScan 将测试登录和注销页面以及应用程序的其余部分。
您应该保持该缺省配置,除非:您的应用程序具有安全保护,可阻止在这些页面上提供非法输入的用户,或如果测试这些页面,您的应用程序流程会改变如果不确定您的应用程序会如何响应这些测试,那么请保持选定该选项。
b.在测试登录页面时不发送会话标识:(该复选框仅当选中了先前复选框时才会处于活动状态并缺省选中。
)建议将此复选框保留为选中状态,因为测试登录页面时会话标识可能会导致测试不成功。
仅当您确定需要有效会话令牌来测试登录页面时,才应清除该复选框。
如果不确定您的应用程序会如何响应,那么请保持选定该选项。
完成测试策略配置后,点击下一步将打开完成配置面板,如下图:7)完成配置面板可供选择启动扫描的方式如下:a.启动全面自动扫描:启动应用程序的全面扫描(“探索”后将立即进行“测试”)。
b.使用仅自动“探索”来启动:探索应用程序,但不继续“测试”阶段。
(可以稍后运行“测试”阶段)。
c.使用手动探索来启动:浏览器将打开,并且您可以通过单击链接并填写字段来手动探索站点。
AppScan® 将记录结果,以便在“测试”阶段使用。
d.我将稍后启动扫描:关闭向导,不启动扫描。
下次启动扫描时,会使用该模板。
e.完成扫描配置后启动扫描专家:如果想要在启动主扫描之前让扫描专家来评估配置,请选中此复选框。
扫描专家会登录应用程序并执行简短、初步的扫描,以评估已配置的设置。
如果需要,会建议更改配置。
8)点击完成按钮,appscan会按照配置内容开始扫描应用程序。
3. 完全扫描配置1)URL和服务器:与创建扫描时一致2)登录管理:与创建扫描时一致3)环境定义:包括操作系统、web服务器、应用程序服务器、数据库类型、第三方组件、站点位置、站点类型、部署方法、潜在间接损害、目标分布、可用性需求、机密性需求、完整性需求。
环境定义并不重要,选择以后,可以使扫描避免无效测试,提高效率4)排除路径和文件:通过配置,扫描程序时会忽略应用程序中的某些路径或文件的特定类型,一般默认即可。
5)探索选项:包括扫描限制、javascript和flash、探索方法、编码、用户代理程序;扫描限制:确定appscan探索应用程序的深度,包括冗余路径限制、单击深度限制、总页面限制,勾选后超过数目则不进行扫描;Javascript:确定appscan探索还是忽略javascript脚本,包括解析JavaScript代码以发现URL、执行JavaScript来发现URL和动态内容、重放登录时执行JavaScript。
前两个勾选后appscan会分析扫描javascript脚本;如果应用程序的登录页面使用JavaScript代码,那么必须选中第三个才能使AppScan可以在扫描期间进行登录。
Flash:确定appscan探索还是忽略flash脚本,包括解析Flash以发现URL、执行Flash 文件以发现潜在漏洞。
这两个都勾选后appscan会分析扫描javascript脚本。
探索方法:确定appscan探索时是以宽度优先还是深度优先:宽度优先是指逐页探索,在继续下一页面前探索一个页面上的所有链接,推荐选择这个。
深度优先是指按照链接逐一探索,并在它找到新链接时对每个新链接进行探索。
编码:AppScan 通常会自动检测应用程序的编码方法,因此缺省情况下会选中自动检测。
如果扫描结果中的响应内容似乎失真,那么这可能意味着未正确识别编码方法。
要解决此问题,请从下拉列表中选择正确的编码方法。
用户代理程序:AppScan 通常会自动检测用户代理程序,但是,如果您使用的浏览器不是内置浏览器,且不记录登录过程、多步骤操作或手动探索,AppScan 将无法进行自动检测,因此您必须手动选择用户代理程序。
6)参数和cookie:此视图用于管理三项主要功能:向特定参数和cookie指定特殊处理;定义具有AppScan®可能无法自行识别的特殊格式的参数和cookie;控制对参数和cookie的缺省处理(“冗余调整”)“参数和cookie”选项卡:使您能够查看、添加、编辑和删除全局参数。
例如,您的应用程序可能具有某些特定的参数和cookie,而您不希望AppScan在测试期间操纵它们的值。
要确保AppScan没有更改这些参数和cookie,请从测试中排除。
例如,如果某些cookie或参数的值被更改,那么您的应用程序可能会锁定某个用户会话。
您应该将这些参数从控制中排除。
如果您没有将其排除,AppScan可能无法成功完成扫描,因为这些cookie会将AppScan锁定到应用程序之外。
在“探索”阶段中,AppScan会自动检测到可能是会话标识的cookie和HTML参数,并将其添加到此选项卡中的列表。
您可手动添加知道是会话标识的cookie和参数。
注:通过隐藏/显示模板项按钮,可以过滤掉源于扫描模板中的但可能与当前扫描无关的项。
高级:“定制参数”选项卡:使您能够添加、编辑和删除具有AppScan 可能无法正确识别的定制格式的参数。
冗余调整缺省值:通过此链接,可以访问和编辑应用于所有参数的缺省冗余调整(无论是由AppScan 发现还是由用户定义的)。
注:更改单独参数的特定冗余调整在参数定义过程中完成。
更改为缺省值并不追溯性地应用到已定义的参数。
必须对每个参数都手动完成该操作。
7)自动表单填充:指AppScan填写应用程序中的表单所使用的值。
其中许多表单都存在缺省值,并且这些值会自动更新以包含在记录登录期间输入的任何值。
可以查看、添加和编辑这些值。
8)错误页面:通过列表中的字符串、正则表达式和URL,识别错误页面。
如果将错误页面识别为正确页面,可能会影响测试结果。
9)多步骤操作:用于测试只能通过以特定顺序单击链接来访问的站点部分,如购物下单。
注:建议将多步骤操作的数量限制在五个,其中每个操作中的步骤数不超过25个,总步骤数不超过70个10)基于内容的结果:如果AppScan无法基于URL结构来定义应用程序树的逻辑结构,您可以使用此视图来执行此操作。
如果在站点内容的构造方式下,URL 反映类似文件夹的层次结构,那么扫描结果会自动反映这一层次结构,从而使其易于浏览。
如果站点使用“面包屑”或其他“基于内容”的导航方法,以便URL 不会指示用户在站点内的“位置”,那么建议您“教导”AppScan 站点是如何进行“逻辑”构造的,以便其可以用能够轻松理解的格式来呈现扫描结果,而不是在一个或两个URL 下列出冗长的结果。
这并非至关重要,但是将使您更轻松地浏览结果。
11)Glass box:在扫描时,此代理程序会监视服务器端的活动,收集源代码信息和其他数据。
这将使扫描变得更为快速和精确。
(具体可参照二.4)12)通信和代理:配置通信超时和代理服务器设置。
13)HTTP认证:如果应用程序需要,请添加服务器级别认证和客户机端证书。
14)测试策略:您可以:•查看当前策略的详细信息•编辑当前策略,以创建您自己的“用户定义的测试策略”•导入预定义策略,或先前保存的用户定义策略15)测试选项:允许您配置会影响扫描长度和完整性的各种设置。
但是,在大多数情况下,缺省设置就已足够了。
16)特权升级:使用不同的用户特权运行的扫描,比较不同用户级别的结果。
17)恶意软件:启用恶意软件测试后,AppScan将在扫描期间检查应用程序中是否存在指向恶意外部Web 站点的链接,需要互联网连接。
18)扫描专家:通过设置,可以决定扫描专家探索的详尽程度,配置更改是自动还是手动实施,以及评估中会包含配置的哪些“模块”。
19)结果专家:可运行一个或多个模块来处理扫描结果,并将其他信息显示在“详细信息”窗格的“问题信息”选项卡中。
20)高级配置:更改会影响特定扫描的高级注册表设置4. 启动扫描2)从“扫描”菜单或工具栏启动扫描全面扫描:运行全面扫描。