安全测试工具操作

Confidential

(秘密) 安全测试工具操作

2011.06

Written By ***

*****有限公司©1996，2011

All Rights Reserved

修订历史记录

1.概述

1.1 编写目的

详细介绍安全测试期间需使用的工具，该操作手册配合<<安全测试规范>>一起

使用。

1.2工具说明

以下是安全测试的部分工具，在安全测试评估过程中很实用，后续可补充更专业

的工具。

2. 安全测试工具

2.1 AppScan

2.1.1 工具介绍

IBM AppScan是一个领先的Web应用程序安全测试工具，基于黑盒测

试，可自动化Web应用的安全漏洞评估工作，能扫描和检测所有常见

的Web应用程序漏洞，如：SQL注入,跨站点脚本攻击等，并提供了扫

描,报告和修复建议等功能。

具体信息请参考：/software/awdtools/appscan/

2.1.2 工具原理

通过模拟Web用户单击链接，爬虫站点应用程序内所有预定的页面和链接，并建立本地副本，得到应用程序内目标脚本，URL,目录,表单，页面,

和字段,并分析它所发送的每个请求的响应，查找潜在漏洞的任何指示信

息，AppScan接受到可能指示有安全漏洞的响应时，它将自动基于响应创

建测试，并通知所需验证规则，同时考虑在确定哪些结果构成漏洞以及所

涉及到安全风险的级别时所需的验证规则。

测试将发送它在”探索”阶段创建的上千条定制测试请求。它使用定制验证规则记录和分析应用程序对每个测试的响应，这些规则即可识别应用

程序内的安全问题，又可排列其安全风险级别。工具原理图：

2.1.3 功能列表

2.1.4实用操作

共四步操作：

1.下载AppScan,目前使用的是破解版本7.8.0.2,并安装成功；

2.启动AppScan，点击菜单：文件—>新建, 展示界面如下：

说明：以下模板是工具内部模板，只可以在线升级，不可以用户

自定义。一般常用模板是总是扫描模板。

3.选择综合扫描模板，展现界面：选择是Web Service接口扫描，还是扫描应

用程序。

4. 点击”下一步”按钮，填入被测系统的URL

5.点击“下一步“按钮，展示界面：这里是扫描被测系统时，需不需要记录

登陆操作的步骤，一般需要记录，因为有些页面，只有登陆后才能被覆盖，点击”记录”按钮，

记录登陆后的页面展示：

6.点击”下一步”按钮，进入选择策略界面：一般在策略文件中选择Default策

略，也可以自定义策略(后续会介绍),取消”发送登陆和注销页面上的测试”

的复选框。

7.点击”下一步”按钮，显示界面：

8.以上设置完成后，点击”完成”按钮，即可以对被测系统进行扫描测试。但

是我们扫描测试时，要考虑具体系统的具体情况，因此还需要考虑如下的配置情况，请接第9步。

9.在”第7步”显示出来的界面上,选择”我将稍后启动扫描”单选钮，目的是

进一步的检查或设置配置.

10.确认配置情况，点击菜单”扫描 扫描配置”,界面展示如下：

其中注意探索选项，自动表单填充，多步骤操作，通信和代理，测试策略，测试选项等配置.

11.探索选项,一般根据系统情况，深度限制默认20，可修改，搜索方法默认宽

度优先.

12. 自动表单填充,取消”启用自动表单填充”复选框，在生产环境中，如果启用该

功能，则可能会自动填充系统中的输入文本框，如果被测系统存在SQL注入漏洞，则扫描时，数据库会有垃圾数据产生。

13. 多步骤操作,如果系统中集成多个系统，则可以在这里操作.

14.通信和代理，这里考虑扫描时，对服务器和客户端有性能瓶颈，因此需要考虑

开启多少个线程数。

15. 测试策略。测试策略是整个工具的核心，用户可自定义测试策略，比如：

只扫描被测系统的SQL注入漏洞，设置时只勾选SQL注入复选框，然后保存，AppScan工具可以根据用户需要设置不同的测试策略。

.

在上面的测试策略界面，点击”更新设置”链接,则弹出来界面如下：

该工具测试都是非侵式测试，因为侵入式测试是一种非常消耗服务器资源的测试，比如：DOS测试，由于启动缓冲溢出等处理从而引起Web程序或服务器崩溃，IBM Rational 强烈建议在进行侵入式测试得在网站管理者的协助下来进行倾入式测试，并且最好避开Web程序使用的高峰时间。

16. 测试选项中，取消”发送登录和注销页面上的测试”复选框，原因是:

Web程序会在执行了多次不正确的登录动作之后锁定用户的账号

家评估”,这个操作的目的：评估配置是否设置完全。

接上一步，然后执行“探索“测试，点击菜单：扫描→完全扫描或扫描→仅探索.

运行扫描后的界面展示：

成后的漏洞展示,如图：

的功能是展示所有需要修复的问题，按高-中-低级别显示。如图：

功能是探索阶段分解网页产生的表单，字段，URL等参数数据,如图：

扫描完成后，点击菜单：工具 运行结果专家,其作用是对扫描的结果进行归类，在什么地方显示。

点击菜单:：工具—报告。

说明：AppScan是安全扫描的主要工具，请务必掌握。

2.2 WebScarab

2.2.1 工具介绍

该工具主要是一款基于IE浏览器的代理软件，实现的功能有：HTTP代理，网络蜘蛛，会话ID分析，WebService测试，跨站脚本等.

2.2.2 实用操作

1. 使用WebScarab工具，首先在浏览器中设置代理，设置代理的操作步骤：

打开IE→工具→Internet选项→“连接“选项卡→点击”局域网设置”按

钮，在弹出的界面配置代理服务器IP为127.0.0.1 ,端口为8008。

2. 在IE中打开输入被测系统的URL,HTTP端口一般默认是80端口；

3. 启动WebScarab；

4. 在Web页面输入合法数据，并提交；

5. 此时WebScarab会弹出HTTP请求拦截窗口，如图：