Appscan使用方法总结

一、典型流程和术语介绍

A. 新建一个扫描，并为这个扫描选择一个扫描模板。

扫描模板：包含用户自定义扫描参数或者是工具默认参数的集合，目的是方面用户快速配置扫描参数。

B. 打开配置向导并选择Web 应用扫描和Web Service扫描中的一种。

注意：Appscan在安装了GSC（通用服务客户端）组件的环境下才会要求选择Web应用或Web Service，否则软件默认选择Web应用程序。

C. 用向导创建扫描：

为Web应用扫描：

a. 填入开始的URL。

b. （推荐）手动执行登录指南。

c. （可选）检查测试策略。

测试策略：

1.default            默认策略（包含除入侵性测试以外的所有测试）

2.Application-only     检查应用程序

3.infrastructure-only  检查内部结构

4.invasive           入侵性检测

5.complete          包含所有的测试手段

6. the Vital Few 少数高漏洞比率检查

7.Web Service Web 服务检查

8.Developer Essentials 开发者概要检查

为Web服务扫描：

a. 填入WSDL 文件位置。

b. （可选）检查测试策略。

c.录制用户输入和回复时，用自动打开的Web 服务探测器接口发送请求到服务端。

D. （可选）扫描专家

a. 打开扫描专家来检查用户为应用扫描配置的效果。

b. 检查提示配置改变并选择适用的。

扫描专家：可以根据用户配置的URL自动探索应用程序，手机信息和网络行为，并分析结果，对当前扫描的配置进行审核，给出较合理的配置建议。

注意：你也可以配置扫描专家执行分析，然后在开始扫描时适用一些它的一些

建议。

E. 开始自动扫描。

注意：软件提供了手动探索的功能，手动探索使用户了解手动应用，在链接上点击和输入数据。

F. 检查结果并纠正（必需）：

a.为没有发现的链接额外执行手工的扫描

b.打印报告

c.检查纠正工作

二、执行Web 应用扫描

按照配置向导创建扫描

1. 开始AppScan，出现的欢迎屏幕

2. 点击创建新扫描（Create New Scan），打开的新扫描对话框。

3. 选择扫描模板

在预先确定的模板区域内，点“Default”来使用默认模板。

如果使用AppScan 扫描一些有规定模板的站点，请选择那个模板：Demo.Testfire，Fvoundstone 或者WebGoat。）

扫描配置向导欢迎。

注意：如果AppScan 已经打开，可以通过点击“New”启动向导，然后点击“OK”。

4. 选择扫描类型

Web 应用扫描“Web Application Scan”然后点“Next”执行三个步骤中的第一个。

5. 输入扫描地址

在起始URL 框中填入应用的URL。

注意：如果需要添加另外的服务器或域点击“Advanced”按钮。

6. 点击“Next”进行向导的第二步。

7. 在单选按钮中选择录制注册“Recorded Login”，然后点击“New”。

显示出一个描述步骤的信息。

8. 点击“OK”。

在交点离开录制按钮的同时浏览器打开。

9. 浏览器打开到注册页面，录制一段正规的注册流程，然后关闭浏览器。

10. 在会话信息对话框中，检查注册流程，然后点击“OK”。

11. 点击“Next”执行向导中的第三步。

在这一步中需要检查扫描运用的测试策略（比如用的哪一种扫描类别）。

注意：系统默认所有非侵入性测试将被执行。

注意：使用“Advanced”按钮可以控制其他的测试选项，包括特殊增加（对没有足

够权限的用户容易涉及到的保密资源范围进行测试）和多项扫描。

12. 在检查框默认选择“In Session Detection”，测试信息中响应是“in-session”的会突出显示。在扫描过程中，AppScan 发送心跳信息请求，检查这个测试的响应来确定它是否登陆（有必要的话重新登陆）。检查测试突出是否是正式会话的真实证据。

13. 点击“Next”。

14. 选择适当的单选按钮开始自动扫描（开始全面自动扫描），和手动检查同时或延后（只有在点击工具栏上开始按钮的图表后才开始）。

15. （可选）当用户结束向导时默认选择扫描专家检查栏以便启动扫描专家。用户也可以清除此项进入扫描步骤。

16. 点击“Finish”关闭向导。

三、扫描结果

结果在三个视图中显示。通过视图选择上的按钮选择视图（默认为问题视图）。这三个视图中显示的数据会随选择的视图不同而改变。

安全问题视图：从宏观到特定的请求/响应显示发现的实际问题。

ü 应用树：完整应用树。计数器显示每一项所发现的问题数。

ü 结果列表：显示所选树中节点的问题列表。显示问题的优先级别。

ü 详细资料栏：显示在结果列表上所选问题的顾问信息、修改建议、请求/响应（包括一些多样的）。

修改工作视图：提供一个修改扫描中发现问题的详细修改意见表。

Ø 应用树：完整应用树。计数器显示每一项所提供的修改意见数。

Ø 结果列表：列出树中所选节点的意见列表。显示意见的优先级别。

严重等级：结果列表会显示应用树中所选择节点的问题。

这些可以是：

基本级（显示所有站点问题）

页面级（显示所有页面问题）

参数级（显示所有特定页面特定请求的问题）

注意：分配给问题的严重等级可以手动更改。

四、生成安全测试报告

工具栏上的报告图标使用户可以选择三种报告模板之一，并且设置生成报告模板的

内容和布局。

1. 安全报告

扫描中发现的安全问题报告。有六个可选项：

概要：图表和表格形式的统计概要。

细节：在概要中增加所有细节。

修改：要求修改的工作列表一决定发现的问题。

开发：问题列表，修改工作和应用资料。

QA：报告列表和修改建议，应用资料和访问的URL。

站点清单：站点列表和应用资料。

2. 行业标准

为使用所选择的行业委员会标准的用户提供其内容（比如OWASPTop10、SANS Top 20、WASC 等）。

如果有必要用户可以创建并根据自己习惯检查标准检查列表。

3. 调整服从

为使用在规则或者官方标准中选择标准的用户提供其内容（比如HIPAA、GLBA、COPPA、SOX、加州SB1386 和AB1950、欧洲的1995/46/EC）。

如果有必要用户可以创建并根据自己习惯检查标准并修改标准模板（详见用户指导）。

分析报告准备两套扫描结果显示不同的URL 和（或）发现的安全问题。

4. 模板报告

报告的一种形式，包括用户规定的数据和用户规定的文件格式，用微软Word .doc 格式。

五、手动检查的步骤

手动检查使用户了解手动应用，在链接上点击和输入数据可以补充自动扫描不能执行的URL或特殊的数据信息。

有三种情况使用户考虑手动探索而不使用自动扫描：

² 反自动化的（比如需要填入一些由图片显示的随机词语）

² 检查一个特殊的用户过程（用户使用脚本存取的URL、文件和参数）

² 有些URL 在扫描过程中可能同时起作用。创建一个手动检查使用户填入可用数据。

录制一个手动检查：

1． 点手动检查。

一个Internet 浏览器打开。

2． 了解站点，点击链接填入需要的地址。

3． 结束时关闭浏览器。

一个检查URL 对话框出现。

4． 如果列表符合要求，点击OK。

AppScan 检查用户的输入是否适合从文件自动添加，如果可以，询问用户是否

想添加。

5． 执行下面某条：

如果用户不想把这次录制用于未来的扫描，点击No。

如果想把部分或者全部输入从文件自动添加，点击Yes 并从临时参数列表中选

择一项，点击Move（把他们移到现有参数列表），然后点OK。

6． 点击OK。

AppScan 分析用户输入的URL，然后根据这个分析创建测试。

7． 运行新的测试

点击测试，然后选择继续测试。

六、安装和升级

1. 安装

将AppScan 安装保存在计算机中，双击它，然后根据提示操作。

注意：安装过程中选择安装目录，必须先安装主程序7.8.0.2-AppScan_Setup.exe之后安装7.8.0.0-GSC_Setup.exe。安装过程中需关闭Office2003以上版本办公软件。

2. 升级

IBM 每天升级AppScan 的应用弱点数据库。每次AppScan 会自从从IBM 搜索、安

装升级补丁。用户也可以随时手动升级：打开AppScan，点击升级，根据提示操作。