一、典型流程和术语介绍
A. 新建一个扫描,并为这个扫描选择一个扫描模板。
扫描模板:包含用户自定义扫描参数或者是工具默认参数的集合,目的是方面用户快速配置扫描参数。
B. 打开配置向导并选择Web 应用扫描和Web Service扫描中的一种。
注意:Appscan在安装了GSC(通用服务客户端)组件的环境下才会要求选择Web应用或Web Service,否则软件默认选择Web应用程序。
C. 用向导创建扫描:
为Web应用扫描:
a. 填入开始的URL。
b. (推荐)手动执行登录指南。
c. (可选)检查测试策略。
测试策略:
1.default 默认策略(包含除入侵性测试以外的所有测试)
2.Application-only 检查应用程序
3.infrastructure-only 检查内部结构
4.invasive 入侵性检测
5.complete 包含所有的测试手段
6. the Vital Few 少数高漏洞比率检查
7.Web Service Web 服务检查
8.Developer Essentials 开发者概要检查
为Web服务扫描:
a. 填入WSDL 文件位置。
b. (可选)检查测试策略。
c.录制用户输入和回复时,用自动打开的Web 服务探测器接口发送请求到服务端。
D. (可选)扫描专家
a. 打开扫描专家来检查用户为应用扫描配置的效果。
b. 检查提示配置改变并选择适用的。
扫描专家:可以根据用户配置的URL自动探索应用程序,手机信息和网络行为,并分析结果,对当前扫描的配置进行审核,给出较合理的配置建议。
注意:你也可以配置扫描专家执行分析,然后在开始扫描时适用一些它的一些
建议。
E. 开始自动扫描。
注意:软件提供了手动探索的功能,手动探索使用户了解手动应用,在链接上点击和输入数据。
F. 检查结果并纠正(必需):
a.为没有发现的链接额外执行手工的扫描
b.打印报告
c.检查纠正工作
二、执行Web 应用扫描
按照配置向导创建扫描
1. 开始AppScan,出现的欢迎屏幕
2. 点击创建新扫描(Create New Scan),打开的新扫描对话框。
3. 选择扫描模板
在预先确定的模板区域内,点“Default”来使用默认模板。
如果使用AppScan 扫描一些有规定模板的站点,请选择那个模板:Demo.Testfire,Fvoundstone 或者WebGoat。)
扫描配置向导欢迎。
注意:如果AppScan 已经打开,可以通过点击“New”启动向导,然后点击“OK”。
4. 选择扫描类型
Web 应用扫描“Web Application Scan”然后点“Next”执行三个步骤中的第一个。
5. 输入扫描地址
在起始URL 框中填入应用的URL。
注意:如果需要添加另外的服务器或域点击“Advanced”按钮。
6. 点击“Next”进行向导的第二步。
7. 在单选按钮中选择录制注册“Recorded Login”,然后点击“New”。
显示出一个描述步骤的信息。
8. 点击“OK”。
在交点离开录制按钮的同时浏览器打开。
9. 浏览器打开到注册页面,录制一段正规的注册流程,然后关闭浏览器。
10. 在会话信息对话框中,检查注册流程,然后点击“OK”。
11. 点击“Next”执行向导中的第三步。
在这一步中需要检查扫描运用的测试策略(比如用的哪一种扫描类别)。
注意:系统默认所有非侵入性测试将被执行。
注意:使用“Advanced”按钮可以控制其他的测试选项,包括特殊增加(对没有足
够权限的用户容易涉及到的保密资源范围进行测试)和多项扫描。
12. 在检查框默认选择“In Session Detection”,测试信息中响应是“in-session”的会突出显示。在扫描过程中,AppScan 发送心跳信息请求,检查这个测试的响应来确定它是否登陆(有必要的话重新登陆)。检查测试突出是否是正式会话的真实证据。
13. 点击“Next”。
14. 选择适当的单选按钮开始自动扫描(开始全面自动扫描),和手动检查同时或延后(只有在点击工具栏上开始按钮的图表后才开始)。
15. (可选)当用户结束向导时默认选择扫描专家检查栏以便启动扫描专家。用户也可以清除此项进入扫描步骤。
16. 点击“Finish”关闭向导。
三、扫描结果
结果在三个视图中显示。通过视图选择上的按钮选择视图(默认为问题视图)。这三个视图中显示的数据会随选择的视图不同而改变。
安全问题视图:从宏观到特定的请求/响应显示发现的实际问题。
ü 应用树:完整应用树。计数器显示每一项所发现的问题数。
ü 结果列表:显示所选树中节点的问题列表。显示问题的优先级别。
ü 详细资料栏:显示在结果列表上所选问题的顾问信息、修改建议、请求/响应(包括一些多样的)。
修改工作视图:提供一个修改扫描中发现问题的详细修改意见表。
Ø 应用树:完整应用树。计数器显示每一项所提供的修改意见数。
Ø 结果列表:列出树中所选节点的意见列表。显示意见的优先级别。
严重等级:结果列表会显示应用树中所选择节点的问题。
这些可以是:
基本级(显示所有站点问题)
页面级(显示所有页面问题)
参数级(显示所有特定页面特定请求的问题)
注意:分配给问题的严重等级可以手动更改。
四、生成安全测试报告
工具栏上的报告图标使用户可以选择三种报告模板之一,并且设置生成报告模板的
内容和布局。
1. 安全报告
扫描中发现的安全问题报告。有六个可选项:
概要:图表和表格形式的统计概要。
细节:在概要中增加所有细节。
修改:要求修改的工作列表一决定发现的问题。
开发:问题列表,修改工作和应用资料。
QA:报告列表和修改建议,应用资料和访问的URL。
站点清单:站点列表和应用资料。
2. 行业标准
为使用所选择的行业委员会标准的用户提供其内容(比如OWASPTop10、SANS Top 20、WASC 等)。
如果有必要用户可以创建并根据自己习惯检查标准检查列表。
3. 调整服从
为使用在规则或者官方标准中选择标准的用户提供其内容(比如HIPAA、GLBA、COPPA、SOX、加州SB1386 和AB1950、欧洲的1995/46/EC)。
如果有必要用户可以创建并根据自己习惯检查标准并修改标准模板(详见用户指导)。
分析报告准备两套扫描结果显示不同的URL 和(或)发现的安全问题。
4. 模板报告
报告的一种形式,包括用户规定的数据和用户规定的文件格式,用微软Word .doc 格式。
五、手动检查的步骤
手动检查使用户了解手动应用,在链接上点击和输入数据可以补充自动扫描不能执行的URL或特殊的数据信息。
有三种情况使用户考虑手动探索而不使用自动扫描:
² 反自动化的(比如需要填入一些由图片显示的随机词语)
² 检查一个特殊的用户过程(用户使用脚本存取的URL、文件和参数)
² 有些URL 在扫描过程中可能同时起作用。创建一个手动检查使用户填入可用数据。
录制一个手动检查:
1. 点手动检查。
一个Internet 浏览器打开。
2. 了解站点,点击链接填入需要的地址。
3. 结束时关闭浏览器。
一个检查URL 对话框出现。
4. 如果列表符合要求,点击OK。
AppScan 检查用户的输入是否适合从文件自动添加,如果可以,询问用户是否
想添加。
5. 执行下面某条:
如果用户不想把这次录制用于未来的扫描,点击No。
如果想把部分或者全部输入从文件自动添加,点击Yes 并从临时参数列表中选
择一项,点击Move(把他们移到现有参数列表),然后点OK。
6. 点击OK。
AppScan 分析用户输入的URL,然后根据这个分析创建测试。
7. 运行新的测试
点击测试,然后选择继续测试。
六、安装和升级
1. 安装
将AppScan 安装保存在计算机中,双击它,然后根据提示操作。
注意:安装过程中选择安装目录,必须先安装主程序7.8.0.2-AppScan_Setup.exe之后安装7.8.0.0-GSC_Setup.exe。安装过程中需关闭Office2003以上版本办公软件。
2. 升级
IBM 每天升级AppScan 的应用弱点数据库。每次AppScan 会自从从IBM 搜索、安
装升级补丁。用户也可以随时手动升级:打开AppScan,点击升级,根据提示操作。
标签:总结,Web,检查,URL,扫描,用户,点击,Appscan,方法 From: https://blog.51cto.com/u_16350833/8316239