首页 > 其他分享 >Appscan使用方法总结

Appscan使用方法总结

时间:2023-11-11 12:34:37浏览次数:42  
标签:总结 Web 检查 URL 扫描 用户 点击 Appscan 方法

一、典型流程和术语介绍

A. 新建一个扫描,并为这个扫描选择一个扫描模板

扫描模板:包含用户自定义扫描参数或者是工具默认参数的集合,目的是方面用户快速配置扫描参数。

B. 打开配置向导并选择Web 应用扫描和Web Service扫描中的一种。

注意:Appscan在安装了GSC(通用服务客户端)组件的环境下才会要求选择Web应用或Web Service,否则软件默认选择Web应用程序。

C. 用向导创建扫描:

为Web应用扫描:

a. 填入开始的URL。

b. (推荐)手动执行登录指南。

c. (可选)检查测试策略

测试策略:

1.default            默认策略(包含除入侵性测试以外的所有测试)

2.Application-only     检查应用程序

3.infrastructure-only  检查内部结构

4.invasive           入侵性检测

5.complete          包含所有的测试手段

6. the Vital Few 少数高漏洞比率检查

7.Web Service Web 服务检查

8.Developer Essentials 开发者概要检查

为Web服务扫描:

a. 填入WSDL 文件位置。

b. (可选)检查测试策略。

c.录制用户输入和回复时,用自动打开的Web 服务探测器接口发送请求到服务端。

D. (可选)扫描专家

a. 打开扫描专家来检查用户为应用扫描配置的效果。

b. 检查提示配置改变并选择适用的。

扫描专家:可以根据用户配置的URL自动探索应用程序,手机信息和网络行为,并分析结果,对当前扫描的配置进行审核,给出较合理的配置建议。

注意:你也可以配置扫描专家执行分析,然后在开始扫描时适用一些它的一些

建议。

E. 开始自动扫描。

注意:软件提供了手动探索的功能,手动探索使用户了解手动应用,在链接上点击和输入数据。

F. 检查结果并纠正(必需):

a.为没有发现的链接额外执行手工的扫描

b.打印报告

c.检查纠正工作

二、执行Web 应用扫描

按照配置向导创建扫描

1. 开始AppScan,出现的欢迎屏幕

2. 点击创建新扫描(Create New Scan),打开的新扫描对话框。

3. 选择扫描模板

在预先确定的模板区域内,点“Default”来使用默认模板。

如果使用AppScan 扫描一些有规定模板的站点,请选择那个模板:Demo.Testfire,Fvoundstone 或者WebGoat。)

扫描配置向导欢迎。

注意:如果AppScan 已经打开,可以通过点击“New”启动向导,然后点击“OK”。

4. 选择扫描类型

Web 应用扫描“Web Application Scan”然后点“Next”执行三个步骤中的第一个。

5. 输入扫描地址

在起始URL 框中填入应用的URL。

注意:如果需要添加另外的服务器或域点击“Advanced”按钮。

6. 点击“Next”进行向导的第二步。

7. 在单选按钮中选择录制注册“Recorded Login”,然后点击“New”。

显示出一个描述步骤的信息。

8. 点击“OK”。

在交点离开录制按钮的同时浏览器打开。

9. 浏览器打开到注册页面,录制一段正规的注册流程,然后关闭浏览器。

10. 在会话信息对话框中,检查注册流程,然后点击“OK”。

11. 点击“Next”执行向导中的第三步。

在这一步中需要检查扫描运用的测试策略(比如用的哪一种扫描类别)。

注意:系统默认所有非侵入性测试将被执行。

注意:使用“Advanced”按钮可以控制其他的测试选项,包括特殊增加(对没有足

够权限的用户容易涉及到的保密资源范围进行测试)和多项扫描。

12. 在检查框默认选择“In Session Detection”,测试信息中响应是“in-session”的会突出显示。在扫描过程中,AppScan 发送心跳信息请求,检查这个测试的响应来确定它是否登陆(有必要的话重新登陆)。检查测试突出是否是正式会话的真实证据。

13. 点击“Next”。

14. 选择适当的单选按钮开始自动扫描(开始全面自动扫描),和手动检查同时或延后(只有在点击工具栏上开始按钮的图表后才开始)。

15. (可选)当用户结束向导时默认选择扫描专家检查栏以便启动扫描专家。用户也可以清除此项进入扫描步骤。

16. 点击“Finish”关闭向导。




三、扫描结果

结果在三个视图中显示。通过视图选择上的按钮选择视图(默认为问题视图)。这三个视图中显示的数据会随选择的视图不同而改变。

安全问题视图:从宏观到特定的请求/响应显示发现的实际问题。

ü 应用树:完整应用树。计数器显示每一项所发现的问题数。

ü 结果列表:显示所选树中节点的问题列表。显示问题的优先级别。

ü 详细资料栏:显示在结果列表上所选问题的顾问信息、修改建议、请求/响应(包括一些多样的)。

修改工作视图:提供一个修改扫描中发现问题的详细修改意见表。

Ø 应用树:完整应用树。计数器显示每一项所提供的修改意见数。

Ø 结果列表:列出树中所选节点的意见列表。显示意见的优先级别。

严重等级:结果列表会显示应用树中所选择节点的问题。

这些可以是:

基本级(显示所有站点问题)

页面级(显示所有页面问题)

参数级(显示所有特定页面特定请求的问题)

注意:分配给问题的严重等级可以手动更改。

四、生成安全测试报告

工具栏上的报告图标使用户可以选择三种报告模板之一,并且设置生成报告模板的

内容和布局。

1. 安全报告

扫描中发现的安全问题报告。有六个可选项:

概要:图表和表格形式的统计概要。

细节:在概要中增加所有细节。

修改:要求修改的工作列表一决定发现的问题。

开发:问题列表,修改工作和应用资料。

QA:报告列表和修改建议,应用资料和访问的URL。

站点清单:站点列表和应用资料。

2. 行业标准

为使用所选择的行业委员会标准的用户提供其内容(比如OWASPTop10、SANS Top 20、WASC 等)。

如果有必要用户可以创建并根据自己习惯检查标准检查列表。

3. 调整服从

为使用在规则或者官方标准中选择标准的用户提供其内容(比如HIPAA、GLBA、COPPA、SOX、加州SB1386 和AB1950、欧洲的1995/46/EC)。

如果有必要用户可以创建并根据自己习惯检查标准并修改标准模板(详见用户指导)。

分析报告准备两套扫描结果显示不同的URL 和(或)发现的安全问题。

4. 模板报告

报告的一种形式,包括用户规定的数据和用户规定的文件格式,用微软Word .doc 格式。

五、手动检查的步骤

手动检查使用户了解手动应用,在链接上点击和输入数据可以补充自动扫描不能执行的URL或特殊的数据信息。

有三种情况使用户考虑手动探索而不使用自动扫描:

² 反自动化的(比如需要填入一些由图片显示的随机词语)

² 检查一个特殊的用户过程(用户使用脚本存取的URL、文件和参数)

² 有些URL 在扫描过程中可能同时起作用。创建一个手动检查使用户填入可用数据。

录制一个手动检查:

1. 点手动检查。

一个Internet 浏览器打开。

2. 了解站点,点击链接填入需要的地址。

3. 结束时关闭浏览器。

一个检查URL 对话框出现。

4. 如果列表符合要求,点击OK。

AppScan 检查用户的输入是否适合从文件自动添加,如果可以,询问用户是否

想添加。

5. 执行下面某条:

如果用户不想把这次录制用于未来的扫描,点击No。

如果想把部分或者全部输入从文件自动添加,点击Yes 并从临时参数列表中选

择一项,点击Move(把他们移到现有参数列表),然后点OK。

6. 点击OK。

AppScan 分析用户输入的URL,然后根据这个分析创建测试。

7. 运行新的测试

点击测试,然后选择继续测试。

六、安装和升级

1. 安装

将AppScan 安装保存在计算机中,双击它,然后根据提示操作。

注意:安装过程中选择安装目录,必须先安装主程序7.8.0.2-AppScan_Setup.exe之后安装7.8.0.0-GSC_Setup.exe。安装过程中需关闭Office2003以上版本办公软件。

2. 升级

IBM 每天升级AppScan 的应用弱点数据库。每次AppScan 会自从从IBM 搜索、安

装升级补丁。用户也可以随时手动升级:打开AppScan,点击升级,根据提示操作。

标签:总结,Web,检查,URL,扫描,用户,点击,Appscan,方法
From: https://blog.51cto.com/u_16350833/8316239

相关文章

  • 改善Go语言编程质量的50个有效实践,技能落地总结50个高效Go程序设计技巧
    改善Go语言编程质量的50个有效实践,技能落地总结50个高效Go程序设计技巧 慕课专栏:《改善Go语言编程质量的50个有效实践》Go语言是Google大牛团队(RobertGriesemer、RobPike以及KenThompson)设计的一种静态类型、编译型编程语言,支持垃圾回收和轻量级并发,它于2009年11月诞......
  • 可以使用preventDefault()阻止默认行为,例如a链接的跳转,在a链接跳转中,需要先对a链接绑
    可以使用preventDefault()阻止默认行为,例如a链接的跳转,在a链接跳转中,需要先对a链接绑定点击事件,然后在a链接的事件对象中调用该方法即可下面三个事件都是事件对象的方法:stopPropagation()阻止事件冒泡。这个事件不会阻止定义在元素上的其他事件。stopImmediatePropagation()......
  • 正则表达式总结
    正则表达式总结正则表达式在线测试https://c.runoob.com/front-end/854/1.通用概念是什么?正则表达式是编程语言中的通用模式配置语法不同编程语言,使用大同小异。英语:regex,grep通用概念1.普通字符2.特殊字符(元字符) 特殊含义的字符 .表示任意字符,除了换行符 ^......
  • 2023-2024-1 20231402《计算机基础与程序设计》第7周学习总结
    2023-2024-120231402《计算机基础与程序设计》第7周学习总结这个作业属于哪个课程2023-2024-1-计算机基础与程序设计这个作业要求在哪里2023-2024-1计算机基础与程序设计第7周作业这个作业的目标自学计算机科学概论第8章,《C语言程序设计》第6章 教材学习内容......
  • Linux卡死的解决方法记录
    本人在使用Linux时突然卡死,检索解决方法及相关知识后总结进行记录。解决方法1.尝试进入tty若Linux在桌面中卡死,可以尝试按下快捷键组合ctrl+alt+F3进入tty3(类似的可以按下快捷键组合ctrl+alt+F4进入tty4,可扩展到tty6),在tty中先通过top命令获取高cpu占用进程,再通过pk......
  • Java检查值是否存在于数组中的3种方法
    在Java中,有许多方法可以检查此数组中是否存在特定元素。1)使用线性搜索方法时间复杂度:O(N)辅助空间:O(1)for(intelement:arr){  if(element==toCheckValue){    returntrue;  }}示例代码:importjava.util.Arrays; publicclassDemo{  p......
  • 解决Few-shot问题的两大方法:元学习与微调
    基于元学习(Meta-Learning)的方法:Few-shot问题或称为Few-shot学习是希望能通过少量的标注数据实现对图像的分类,是元学习(Meta-Learning)的一种。Few-shot学习,不是为了学习、识别训练集上的数据,泛化到测试集,而是为了让模型学会学习。也就是模型训练后,能理解事物的异同、区分不同的......
  • #2023-2024-1 20231308 《计算机基础与程序设计》第七周学习总结
    2023-2024-120231308《计算机基础与程序设计》第七周学习总结作业信息这个作业属于哪个课程2023-2024-1-计算机基础与程序设计这个作业要求在哪里2023-2024-1计算机基础与程序设计第七周作业这个作业的目标自学计算机科学概论第8章《C语言程序设计》第6章作......
  • 德勤卓越业务流程管理构建方法论
    本人在四大咨询机构从事咨询工作多年,二十年一线数字化规划咨询经验,提供制造业数智化转型规划服务,顶层规划/企业架构/数据治理/数据安全解决方案资料干货.该PPT共96页,由于篇幅有限,以下为部分资料,如需完整原版 方案,点击下方。本文来源于网络,侵权立删。卓越业务流程管理(EBPM)方法......
  • Ubuntu14.04 Server 升级到14.10 的方法
    如果想从Ubuntu14.04/13.10/13.04/12.10/12.04或者更老的版本升级到14.10,只要遵循下面给出的步骤。注意,你不能直接从13.10升级到14.10。你应该先将13.10升级到14.04在从14.04升级到14.10。下面是详细步骤。下面的步骤不仅能用于14.10,也兼容于一些像Lubuntu14.10,Kubuntu14.10和Xu......