AppScan开始使用

本人英语能力有限，如有错误请见谅。——译者

这个向导是AppScan用户向导手册和AppScan在线帮助的补充（fairyox）。主要目

的是为这个产品做介绍，如果需要更多的资料和详细的说明书请参阅用户手册和在

线帮助

1安装

1.1AppScan安装

将AppScan安装保存在计算机中，双击它，然后根据提示操作。

1.2注册文件安装

AppScan安装中包括一个允许扫描指定站点的注册文件（见章节1.4），但是不能扫

描其他站点。扫描其他站点需要得到IBM授予的合法注册文件。这样就可以扫描其

他站点并读取和保存扫描模版，否则不能运行其他站点的扫描。

安装扫描文件：

1.打开AppScan

2.在帮助菜单选择License

3.如果已经有注册文件：点Load License File，找到注册文件，点Open。

或者

在网上获得注册文件：确认连接好Internet网，点Obtain License Online，然后

根据提示操作

4.点ok关闭注册对话框。

1.3升级

IBM每天升级AppScan的应用弱点数据库。每次AppScan会自从从IBM搜索、安

装升级补丁。用户也可以随时手动升级：打开AppScan，点击升级，根据提

示操作。

1.4AppScan的试用版

如果您在使用AppScan的试用版，注册文件只允许您对IBM Rational AppScan定制

的测试站点进行测试：

AppScan下载：https:///securearea/appscan.aspx

测试站点：

/

用户名：jsmith 密码：

demo1234

2概述

2.1主界面

AppScan 主界面包括一个菜单栏、工具栏和视图选择，还有三个数据窗口：应用树、结果列表和细节。下图是主界面在进行数据扫描（扫描前三个数据窗口和统计图是空白的）

。

2.2站点扫描的基本原理

AppScan 扫描由两个阶段组成：探测和测试。

探测阶段：AppScan 用模拟人为点击链界和填写表格的方式探测站点（应用或者Web 服务）。它分析响应，查找潜在弱点的迹象并利用他们创建“测试请求”。测试阶段：AppScan 在探索期间发送上千个预定的测试请求。记录并分析应用的响

View Selector 视图选择选择三个按钮中的一个来选择三个窗口数据显示的类型。Application

Tree 应用树

AppScan 收集扫描结果时会把他们显示在应用树中；在扫描结束时应用树显示所有AppScan 在应用中找到的文件夹、URL 和文件。

Result List 结果列表显示应用树中被选节点有关的结果。

Detail Pane 细节显示结果列表中被选项的详细信息，在三个页面分别显示报告、建议和请求/响应。

Dashboard

统计图

用连续视图的形式显示当前结果。

应，辨别安全问题并排列他们的安全级别。

2.3应用VS Web服务

AppScan能够扫描Web应用和Web服务。

Web应用：在应用的情况下，它会在开始的URL和注册认证方面进行充分的安全

扫描以保证能够测试站点。如果有必要也可以手动运行站点，以扩大安全扫描到只

有用户手动才能涉及到的范围。

Web服务：在Web服务的情况下，IBM特殊工具“Web Services Explorer”创建一

个简单的界面显示可连接的服务和输入参数及结果。过程是AppScan录制和为服务

创建测试。

2.4典型流程

1.选择一个扫描模板。

2.打开配置向导并选择Web应用扫描和Web服务扫描中的一种。

3.用向导创建扫描：

为应用扫描：

a.填入开始的URL。

b.（推荐）手动执行登陆指南。

c.（可选）检查测试策略。

为Web服务扫描：

a.填入WSDL文件位置。

b.（可选）检查测试策略。

c.在AppScan录制用户输入和回复时，用自动打开的Web服务探测器借口发

送请求到服务端。

4.（可选）扫描专家

a.打开扫描专家来检查用户为应用扫描配置的效果。

b.检查提示配置改变并选择适用的。

注意：你也可以配置扫描专家执行分析，然后在开始扫描时适用一些它的一些

建议。

5.开始自动扫描。

6.检查结果并（必需）：

⏹为没有发现的链接额外执行手工的扫描

⏹打印报告

⏹检查纠正工作

3扫描配置向导

用配置向导指导涉及到应用扫描配置的质量。为高级配置方式和Web服务扫描配置

的详细资料有关的AppScan用户指导或在线帮助。

配置扫描：

1.开始AppScan

出现的欢迎屏幕

2.点击创建新扫描（Create New Scan）

打开的新扫描对话框。

3.在预先确定的模板区域内，点“Default”来使用默认模板。（如果使用AppScan扫描

一些有规定模板的站点，请选择那个模板：Demo.Testfire，Fvoundstone或者WebGoat。）扫描配置向导欢迎。

注意：如果AppScan已经打开，可以通过点击“New”启动向导，然后点击“OK”。

4.选择Web应用扫描“Web Application Scan”然后点“Next”执行三个步骤中的第一个。

5.在起始URL框中填入应用的URL。