WEB安全評(píng)估系統(tǒng)用戶(hù)手冊(cè)

1、WEB安全評(píng)估管理系統(tǒng)( WES)M 用戶(hù)手冊(cè)WSEM概述WSEM 簡(jiǎn)介WEB 安全評(píng)估管理系統(tǒng) (WSEM) 在 java tomcat 應(yīng)用服務(wù)器中運(yùn)行。其中，安全評(píng)估模 塊、項(xiàng)目管理模塊、 用戶(hù)管理模塊、 知識(shí)庫(kù)管理模塊和項(xiàng)目風(fēng)險(xiǎn)統(tǒng)計(jì)模塊是本系統(tǒng)的主要功 能模塊， SSCA 源代碼評(píng)估工具和 SSVS 安全測(cè)試工具是與本系統(tǒng)交互的安全工具組件。SSCA 軟件安全分析器和 SSVS 安全測(cè)試工具將代碼掃描文件和安全測(cè)試文件以xml 的方式傳遞給安全評(píng)估模塊， 安全評(píng)估模塊將上傳的結(jié)果信息整理入庫(kù)， 項(xiàng)目風(fēng)險(xiǎn)統(tǒng)計(jì)模塊根 據(jù)入庫(kù)信息提供統(tǒng)計(jì)報(bào)表。知識(shí)庫(kù)管理模塊對(duì)代碼掃描和安全測(cè)試的規(guī)則進(jìn)行編輯

2、， 編輯好的規(guī)則通過(guò)組件接口下 發(fā)給 SSCA 軟件安全分析器和 SSVS 安全測(cè)試工具， 安全工具根據(jù)下發(fā)規(guī)則對(duì)源代碼和系統(tǒng) 進(jìn)行掃描。運(yùn)行環(huán)境運(yùn)行 WSEM 所需要的硬件及軟件環(huán)境如下：CPU Pentium 2.4GHz 及以上內(nèi)存 512MB 及以上硬盤(pán) 40GB 及以上網(wǎng)卡 100Mbps 及以上操作系統(tǒng) Windows 2000/XP/2003 ，Vista 等安裝與卸載安裝雙擊安裝程序 wsem setup.exe，進(jìn)行 WSEM 的安裝，如下圖所示點(diǎn)擊“下一步” ，顯示用戶(hù)許可協(xié)議，用戶(hù)需選擇“我同意該許可協(xié)議的條款”能繼續(xù) 安裝。如圖：點(diǎn)擊“下一步” ，要求輸入用戶(hù)名和公司名

3、，如圖：點(diǎn)擊“下一步” ，要求選擇安裝路徑，默認(rèn)安裝在 C:Program filesWSEM ，用戶(hù)可根據(jù) 需要修改該路徑。如圖：注意：請(qǐng)確保路徑中沒(méi)有其它特殊字符。點(diǎn)擊“下一步” ，選擇創(chuàng)建快捷方式的位置。如圖：點(diǎn)擊“下一步” ，確認(rèn)安裝的配置。如下圖：點(diǎn)擊“下一步” ，程序開(kāi)始安裝。如下圖：安裝一般需要幾分鐘，請(qǐng)耐心等待?？彀惭b成功時(shí)會(huì)有如下提示配置 My_SQL 端口號(hào)的窗口，默認(rèn)為“ 3306”，如下圖：點(diǎn)擊“ OK ”，又會(huì)出現(xiàn)如下提示窗口，提示配置 Tomcat 端口號(hào)，默認(rèn)為“ 8080”如下 圖：點(diǎn)擊“ OK ”，確認(rèn)端口進(jìn)入完成界面，如下圖：待程序安裝完畢，會(huì)提示安裝成功，

4、點(diǎn)擊“重新啟動(dòng)”即完成安裝。2.2 卸載執(zhí)行 WSEM 的卸載程序，會(huì)卸載 WSEM 安裝時(shí)創(chuàng)建的所有程序文件。 在開(kāi)始菜單選擇“所有程序”中找到 WSEM ，如下圖：點(diǎn)擊“卸載 WSEM ”，會(huì)提示是否卸載 WSEM ，如下圖 ：點(diǎn)擊“下一步” ，卸載程序開(kāi)始 卸載 WSEM ，如下圖：卸載完成，點(diǎn)擊“完成” ，關(guān)閉窗口，此時(shí)程序卸載成功。如下圖快速入門(mén) （ 各模塊頁(yè)面操作 ）啟動(dòng) WSEM右擊“我的電腦” ，在彈出的右鍵菜單中選擇“管理” ，將打開(kāi)計(jì)算機(jī)管理，如下圖所示：點(diǎn)擊“服務(wù)和應(yīng)用程序”左側(cè)的+”打開(kāi)服務(wù)與應(yīng)用程序樹(shù)，然后點(diǎn)擊數(shù)中的“服務(wù)”項(xiàng)，在右側(cè)拉動(dòng)滾動(dòng)條到最后項(xiàng)，可以看到兩項(xiàng)服

5、務(wù)： WSEM_MySQL 和 WSEM_Tomcat 如下圖所示：此時(shí)兩項(xiàng)服務(wù)都是手動(dòng)開(kāi)啟， 選擇 WSEM_MySQL ，右擊則彈出一菜單欄， 然后點(diǎn)擊 “ 啟 動(dòng)”如下圖所示：同樣選擇 WSEM_Tomcat ，右擊則彈出一菜單欄，然后點(diǎn)擊 “啟動(dòng)”，則啟動(dòng)了兩項(xiàng)服 務(wù)。此時(shí)在 IE 瀏覽器中輸入后，就打開(kāi)了 WSEM3.2 界面框架雙擊 WSEM 圖標(biāo)后，將打開(kāi) WSEM 的登陸界面，如下圖：輸入用戶(hù)名及密碼然后，點(diǎn)擊“登錄”進(jìn)入主頁(yè)面，如下圖所示：項(xiàng)目管理模塊點(diǎn)擊左側(cè)功能導(dǎo)航樹(shù)欄的“項(xiàng)目管理” ，進(jìn)入項(xiàng)目管理頁(yè)面，如下圖：用戶(hù)可以對(duì)項(xiàng)目信息進(jìn)行添加，查詢(xún)，編輯（ ），刪除 （ ）等操

6、作。 注意：添加或編輯（修改）時(shí)項(xiàng)目名稱(chēng)不能相同。點(diǎn)擊項(xiàng)目列表右側(cè)“添加”按鈕進(jìn)入添加頁(yè)面，如下圖： 、用戶(hù)在填寫(xiě)好項(xiàng)目相關(guān)信息后（其中后面帶紅色* ”號(hào)為必填項(xiàng)） ，在用戶(hù)信息列表中選擇一個(gè)或多個(gè)用戶(hù)（點(diǎn)擊用戶(hù)名左側(cè)的空白方框按鈕，當(dāng)出現(xiàn)對(duì)號(hào)則表示選中示把該項(xiàng)目添加到這些用戶(hù)的名下，然后點(diǎn)擊“確定”完成添加。表點(diǎn)擊項(xiàng)目列表右側(cè)“查詢(xún)”按鈕進(jìn)入查詢(xún)頁(yè)面，如下圖，用戶(hù)可以根據(jù)輸入的查詢(xún)條件進(jìn)行查詢(xún)， ；例如查詢(xún)項(xiàng)目編號(hào)為 2 的項(xiàng)目，在項(xiàng)目編號(hào)欄輸 入“ 2”，然后點(diǎn)擊“確定” ，進(jìn)入查詢(xún)結(jié)果頁(yè)面，如下圖：點(diǎn)擊打開(kāi)項(xiàng)目編輯窗口，對(duì)項(xiàng)目進(jìn)行編輯，如下圖：點(diǎn)擊項(xiàng)目右側(cè) （刪除），會(huì)彈出是否刪除的選擇

7、窗口對(duì)項(xiàng)目進(jìn)行刪除，如下圖：點(diǎn)擊“確定” ，則刪除此項(xiàng)目。3.3 用戶(hù)管理模塊3.3.1 用戶(hù)信息管理點(diǎn)擊功能導(dǎo)航樹(shù)欄的“用戶(hù)管理”打開(kāi)用戶(hù)管理樹(shù)，然后點(diǎn)擊“用戶(hù)信息管理”進(jìn)入用戶(hù)信 息頁(yè)面。按鈕）操作。用戶(hù)可以進(jìn)行添加，查詢(xún)，刪除（ 按鈕），編輯（注意：添加或編輯（修改）時(shí)用戶(hù)名稱(chēng)不能相同，如下圖：點(diǎn)擊用戶(hù)列表右側(cè)的“添加”進(jìn)入添加頁(yè)面，如下圖：其中后面帶紅色“ *”號(hào)的為必填選項(xiàng)，而部門(mén)和用戶(hù)角色則在下拉框中進(jìn)行選擇。點(diǎn)擊用戶(hù)右側(cè)的 進(jìn)入編輯頁(yè)面，可以對(duì)用戶(hù)信息進(jìn)行編輯，而帶紅色“ * ”號(hào)的選項(xiàng)不 能為空，如下圖：3.3.2 部門(mén)信息模塊點(diǎn)擊“部門(mén)信息管理”進(jìn)入該頁(yè)面，用戶(hù)可以進(jìn)行添加，

8、編輯等操作，如下圖：注意：添加或編輯（修改）時(shí)部門(mén)名稱(chēng)不能相同。頁(yè)面上顯示的部門(mén)信息是系統(tǒng)默認(rèn)的，只能通過(guò)“編輯”進(jìn)行修改，不能刪除，如點(diǎn)擊部門(mén)編號(hào)為“ 0”，描述為默認(rèn)的部門(mén)右側(cè)的刪除按鈕，會(huì)出現(xiàn)提示窗口，如下圖所示：點(diǎn)擊提示窗口的“確定” ，然后進(jìn)入部門(mén)列表窗口，如下圖所示：由圖可以看出，該部門(mén)沒(méi)有被刪除。3.3.3 用戶(hù)角色模塊點(diǎn)擊“角色信息管理”進(jìn)入該頁(yè)面，如下圖：頁(yè)面顯示的 3 個(gè)角色設(shè)置為系統(tǒng)默認(rèn)的，只能編輯（ ），不能刪除（ ） 注意：添加或編輯（修改）時(shí)項(xiàng)目名稱(chēng)不能相同，例如我們添加一個(gè)角色名也為“經(jīng)理”的 用戶(hù)看會(huì)出現(xiàn)什么結(jié)果。點(diǎn)擊“添加”進(jìn)入添加頁(yè)面，如下圖：其中“角色權(quán)限

9、” 項(xiàng)的內(nèi)容可以在其下面的選擇框中點(diǎn)擊選擇， 為該角色添加相應(yīng)的角色權(quán) 限，以限定該角色的操作功能。點(diǎn)擊“確定” ，就會(huì)進(jìn)入角色列表窗口，如下圖：系統(tǒng)在角色列表上方顯示：添加角色失敗，已存在相同名稱(chēng)的角色，說(shuō)明添加失敗。點(diǎn)擊角色管理主頁(yè)面上的角色名為經(jīng)理的“編輯”項(xiàng)（ ），用戶(hù)可以進(jìn)入該角色的編輯 頁(yè)面，看到相關(guān)信息，如下圖：用戶(hù)可以看到經(jīng)理這一角色的權(quán)限： 擁有對(duì)項(xiàng)目進(jìn)行安全測(cè)試， 風(fēng)險(xiǎn)統(tǒng)計(jì)， 項(xiàng)目管理模 塊的操作權(quán)限。 提示：用戶(hù)管理信息模塊和部門(mén)信息模塊的信息在用戶(hù)信息模塊中要用到。用戶(hù)信息模塊的內(nèi)容在項(xiàng)目信息模塊中要用到。風(fēng)險(xiǎn)分類(lèi)模塊點(diǎn)擊功能導(dǎo)航樹(shù)欄的“風(fēng)險(xiǎn)分類(lèi)“進(jìn)入該頁(yè)面，如下圖所示

10、：點(diǎn)擊打開(kāi)其中一條樹(shù)，點(diǎn)擊相應(yīng)的項(xiàng)，可以在右邊顯示其內(nèi)容。例如點(diǎn)擊第二項(xiàng)“ 2 API 誤用”，然后點(diǎn)擊第一項(xiàng)“ 2.1 代碼正確性 :調(diào)用 System.gc()”，如下 圖所示：點(diǎn)擊“添加“，右邊會(huì)出現(xiàn)添加頁(yè)面(如：在api 誤用中添加一項(xiàng)名為”wwwww “）?？梢栽谧筮呿?yè)面看到添加的項(xiàng) ，點(diǎn)擊確定則該項(xiàng)添加成功。代碼掃描規(guī)則模塊點(diǎn)擊功能導(dǎo)航樹(shù)欄的“代碼掃描規(guī)則管理”進(jìn)入該頁(yè)面，如下圖所示：用戶(hù)可以進(jìn)行添加，查詢(xún)，導(dǎo)入，導(dǎo)出等操作。點(diǎn)擊代碼掃描規(guī)則右側(cè)的“導(dǎo)入”按鈕，進(jìn)入導(dǎo)入窗口。如下圖：點(diǎn)擊“瀏覽” ，彈出窗口，如下圖所示：選擇要上傳的文件，點(diǎn)“確定”則可以上傳，注意：上傳的文件必須是

11、壓縮成 zip 包的 xml 文件。點(diǎn)擊代碼掃描規(guī)則右側(cè)的“導(dǎo)出，彈出導(dǎo)出窗口，如下圖：選擇相應(yīng)的地址進(jìn)行保存，導(dǎo)出的是此時(shí)數(shù)據(jù)庫(kù)中所有的代碼掃描規(guī)則。3.6 安全測(cè)試模塊點(diǎn)擊功能導(dǎo)航樹(shù)欄的“安全測(cè)試規(guī)則管理”進(jìn)入該頁(yè)面，如下圖所示：點(diǎn)擊安全測(cè)試規(guī)則右側(cè)的“導(dǎo)入”，進(jìn)入導(dǎo)入窗口，點(diǎn)擊“瀏覽”。如下圖：選擇要導(dǎo)入的文件點(diǎn)擊確定。3.7 解決方案點(diǎn)擊功能導(dǎo)航樹(shù)欄的“解決方案管理”進(jìn)入該頁(yè)面，如下圖：3.8 參考資源點(diǎn)擊功能導(dǎo)航樹(shù)欄的“參考資源管理”進(jìn)入該頁(yè)面，如下圖所示：4 報(bào)表分析從登陸頁(yè)面進(jìn)入到主頁(yè)面后， 用戶(hù)如果要查看項(xiàng)目風(fēng)險(xiǎn)統(tǒng)計(jì)和項(xiàng)目安全評(píng)估， 則要先在項(xiàng)目管理模塊中選擇一個(gè)項(xiàng)目，如圖：點(diǎn)

12、“進(jìn)入項(xiàng)目”進(jìn)入一個(gè)項(xiàng)目，如圖：用戶(hù)可以對(duì)項(xiàng)目風(fēng)險(xiǎn)統(tǒng)計(jì)和項(xiàng)目安全評(píng)估進(jìn)行操作 （注： 一個(gè)用戶(hù)登陸后進(jìn)入項(xiàng)目管理， 只 能看到屬于自己的項(xiàng)目， 這個(gè)在項(xiàng)目添加頁(yè)面里的用戶(hù)信息列表中可以選擇把項(xiàng)目加到用戶(hù) 名下）項(xiàng)目安全評(píng)估安全測(cè)試點(diǎn)擊“項(xiàng)目安全評(píng)估”中的“安全測(cè)試” ，如下圖：用戶(hù)可以進(jìn)行上傳，查詢(xún)等操作。點(diǎn)擊“上傳”按鈕，進(jìn)入上傳頁(yè)面，點(diǎn)擊瀏覽，如圖所示：選擇要上傳的文件，然后點(diǎn)擊“打開(kāi)” ，則上傳成功。點(diǎn)擊編號(hào)為 1 右側(cè)的“查看”可以看到，如下圖：其中“導(dǎo)出為 PDF 格式”和“導(dǎo)出為 HTML 格式”兩個(gè)按鈕可以把該頁(yè)面信息導(dǎo)出為指定 的格式，以便保存，如點(diǎn)擊“導(dǎo)出為 HTML 格式”

13、，如下圖：4.1.2 代碼測(cè)試點(diǎn)擊“項(xiàng)目安全評(píng)估”中的“代碼審查” ，進(jìn)入代碼審查界面，如下圖：點(diǎn)擊右側(cè)“上傳”，打開(kāi)上傳窗口，點(diǎn)擊瀏覽，如下圖：選擇要上傳的文件，點(diǎn)擊“打開(kāi)” ，上傳成功。4.2 項(xiàng)目風(fēng)險(xiǎn)統(tǒng)計(jì)點(diǎn)擊“項(xiàng)目風(fēng)險(xiǎn)統(tǒng)計(jì)” ，進(jìn)入項(xiàng)目風(fēng)險(xiǎn)統(tǒng)計(jì)界面，如下圖：項(xiàng)目風(fēng)險(xiǎn)統(tǒng)計(jì)點(diǎn)擊右邊頁(yè)面中的“項(xiàng)目風(fēng)險(xiǎn)統(tǒng)計(jì)” ，用戶(hù)可以看到項(xiàng)目的歷史（最近兩次）風(fēng)險(xiǎn)統(tǒng)計(jì)報(bào)表 圖，如下圖：4.2.2 安全測(cè)試風(fēng)險(xiǎn)統(tǒng)計(jì)點(diǎn)擊“安全測(cè)試風(fēng)險(xiǎn)統(tǒng)計(jì)”下的風(fēng)險(xiǎn)統(tǒng)計(jì)結(jié)果，顯示最近一次上傳的測(cè)試結(jié)果的報(bào)表。 如下圖：頁(yè)面4.2.3 安全測(cè)試風(fēng)險(xiǎn)歷史統(tǒng)計(jì)點(diǎn)擊“歷史風(fēng)險(xiǎn)統(tǒng)計(jì)” ，顯示最近兩次統(tǒng)計(jì)的報(bào)表如下圖：4.2.4 安全測(cè)試階段風(fēng)險(xiǎn)統(tǒng)計(jì)點(diǎn)擊“階段風(fēng)險(xiǎn)統(tǒng)計(jì)” ，顯示所選時(shí)間段內(nèi)的風(fēng)險(xiǎn)統(tǒng)計(jì)報(bào)表，如下圖：4.2.5 代碼掃描風(fēng)險(xiǎn)統(tǒng)計(jì)點(diǎn)擊“項(xiàng)目安全評(píng)估”中的“代碼審查” ，進(jìn)入代碼審查界面，如下圖：點(diǎn)擊“代碼掃描風(fēng)險(xiǎn)統(tǒng)計(jì)”下的風(fēng)險(xiǎn)統(tǒng)計(jì)結(jié)果，顯示最近一次上傳的測(cè)試結(jié)果的報(bào)表。 如下 圖：4.2.6 代碼掃描風(fēng)險(xiǎn)歷史統(tǒng)計(jì)點(diǎn)擊“歷史風(fēng)險(xiǎn)統(tǒng)計(jì)” ，顯示最近統(tǒng)計(jì)的報(bào)表如下圖：4.2.7 代碼掃描階段風(fēng)險(xiǎn)