使用 AppScan 進行掃描

1、針對大型網(wǎng)站的掃描，我們按照戴明環(huán)PDCA的方法論來進行規(guī)劃和討論，建議AppScan使用步驟：計劃（Plan）、執(zhí)行（Do）、檢查（check）、分析（Analysis and Action）。在計劃階段：明確目的，進行策略性的選擇和任務(wù)分解。明確目的：選擇合適的掃描策略了解對象：首先進行探索，了解網(wǎng)站結(jié)構(gòu)和規(guī)模確定策略：進行對應(yīng)的配置按照目錄進行掃描任務(wù)的分解按照掃描策略進行掃描任務(wù)的分解執(zhí)行階段：一邊掃描一遍觀察進行掃描先爬后掃（繼續(xù)僅測試）檢查階段（Check）檢查和調(diào)整配置結(jié)果分析（Analysis）對比結(jié)果匯總結(jié)果（整合和過濾）下面我們針對每個階段，進行具體的闡述。準(zhǔn)備階段AppS

2、can安裝環(huán)境要求和檢查為了保證更好的掃描效果，安裝AppScan的硬件建議配置如下：Rational AppScan安裝配置要求硬件最低需求處理器 Pentium P4，2.4 GHz內(nèi)存2 GB RAM磁盤空間30 GB網(wǎng)絡(luò)1 NIC 100 Mbps （具有已配置的TCP/IP的網(wǎng)絡(luò)通信）其中，處理器和內(nèi)存建議越大越好，而磁盤空間，建議系統(tǒng)盤（一般是C盤）磁盤空間至少保留10G，如果系 統(tǒng)盤磁盤空間比較少，可以考慮把用戶文件等保存在其他盤；如默認(rèn)的用戶文件是：C:Documents and SettingsAdministratorMy DocumentsAppScan ；可以修改為其他

3、路徑。該路徑可以在菜單欄中依次選擇工 具-選項-一般-文件位置部分修改。磁盤要求：修改臨時文件路徑有時候大家會發(fā)現(xiàn)，已經(jīng)把上面的地址都修改到了其他盤，但是在掃描過程中，還是會發(fā)現(xiàn)C盤的空間快速被 消耗，分析原因，是因為很多臨時文件都保存在C盤，AppScan中有一個隱藏的參數(shù)APPSCAN_TEMP來設(shè)置 臨時文件位置。在掃描過程中，如果系統(tǒng)盤空間比較下，可以通過修改系統(tǒng)變量來修改到其他硬盤空間。臨時文件位置說明：描述正常操作期間AppScan將其臨時文件保存到的位置。缺省情況下，AppScan將其臨時 文件存儲在以下位置：C:Documents and SettingsAll UsersAp

4、plication DataIBMRational AppScantemp如果需要修改此缺省位置，請按照要求編輯環(huán)境變量APPSCAN_TEMP的路徑。（訪問環(huán)境變量的方法是，右鍵 單擊我的電腦，然后依次選擇屬性 高級 環(huán)境變量。）注意：在新位置的路徑中絕不能有任何Unicode字符。修改AppScan中的臨時文件：桌面上鼠標(biāo)右鍵選擇“我的電腦”，選擇“屬性”選擇“高級”，“環(huán)境變量”增加一個新的“用戶環(huán)境變量”，名字是“APPSCAN_TEMP”，設(shè)定路徑，指向您希望保存臨時文件的 目錄。計劃階段在計劃階段，首先明確幾個問題：關(guān)心哪些類型的安全問題，根據(jù)這些安全問題來設(shè)置掃描規(guī)則。要掃描的網(wǎng)

5、站地址，網(wǎng)站的業(yè)務(wù)特點。掃描策略的選擇試想，我們現(xiàn)在要掃描的是某個移動公司的網(wǎng)站系統(tǒng)，該網(wǎng)站系統(tǒng)提供多個內(nèi)容頻道，還可以連接到多個其他 移動公司網(wǎng)站和業(yè)務(wù)網(wǎng)站，我們本次安全測試重點關(guān)心的是門戶網(wǎng)站本身和其上面的網(wǎng)上營業(yè)廳業(yè)務(wù)。這就是 一個比較明確的測試目標(biāo)對象。然后，確定掃描策略，我們主要關(guān)心該網(wǎng)站是否存在跨站點腳本執(zhí)行和SQL注入的問題，則在掃描規(guī)則中，我 們就可以選擇這兩種類型的規(guī)則，其他規(guī)則都排除。具體的掃描規(guī)則定制，可以在掃描配置-測試-測試策略中選擇：在測試策略中，有多種不同的分組模式，最經(jīng)常使用的是“嚴(yán)重性”，“類型”，“侵入式”、“WASC威脅分 類”等標(biāo)準(zhǔn)，根據(jù)不同分組選擇的掃

6、描策略，最后組成一個共同的策略集合。根據(jù)我們這次掃描的目標(biāo)，關(guān)心的是跨站點腳本執(zhí)行和SQL注入的問題，而且不考慮“基礎(chǔ)結(jié)構(gòu)”級別的安全問題。則就可以首先選擇一個默認(rèn)的掃描策略，然后全部置空，再選擇跨站點腳本執(zhí)行和SQL注入，最后再去除這兩種掃描策略中和基礎(chǔ)結(jié)果相關(guān)的安全問題。方法如下：選擇缺省的掃描策略，或者把當(dāng)前的掃描策略，切換到按照“類型”分類，取消掉“基礎(chǔ)結(jié)構(gòu)”和“應(yīng) 用程序”兩種類型。說明：則把掃描策略置空，沒有選擇任何的掃描策略，指所有分布類型選擇“類型”分類，是因為類 型分類里面含有的類型，只有兩種類型，可以快速全部都取消掉。分組類型，切換到“ WASC威脅分類”，選擇“ SQL注

7、入”和“跨站點腳本編制”。分組類型，切換到“類型”，發(fā)現(xiàn)這時候“基礎(chǔ)結(jié)構(gòu)”和“應(yīng)用程序”兩種類型的掃描策略都是選擇 上的模式，而且是虛線，說明這兩種類型下均有部分掃描策略被選擇了。我們不關(guān)心“基礎(chǔ)結(jié)構(gòu)”級別的安全問題，所以在這里取消“基礎(chǔ)結(jié)構(gòu)”。圖2.按“類型”分類的測試策略現(xiàn)調(diào)武策略年缺者恒已修改）凈導(dǎo)出X）旬導(dǎo)入產(chǎn)重性使用CV壓侵入式W收感肪歸類舞蟹二二v輸前醇找羹型3-基仙菇構(gòu)+,應(yīng)用程序分組類型，切換到“侵入式”類型，下面有“非侵入式”和“侵入式”兩種分類。取消“基礎(chǔ)結(jié)構(gòu)” 級別的測試。侵入式的測試用例，往往因為有比較強的副作用，可能對系統(tǒng)造成傷害，所以一般掃描生產(chǎn)系統(tǒng)的時候，很少 選

8、擇。我們可以查看一個SQL注入類型的侵入式安全問題，在“輸入以查找”輸入框中輸入“SQL”，然后回 車查詢。可以看到測試變體的描述“將參數(shù)值設(shè)置為Declare/Case SQL注入攻擊（嘗試關(guān)閉DB服務(wù)器）”， 則掃描過程中，會使用該測試用例去執(zhí)行嘗試關(guān)閉數(shù)據(jù)庫的命令，如果該測試用例執(zhí)行通過，則就關(guān)閉了數(shù)據(jù) 庫，則整個系統(tǒng)就癱瘓！所以，要很慎重的選擇“侵入式的測試用例”。圖3.查詢測試策略mwuam-wk 1 niuf曲式 心X戶伽膈吐:，龍由Hi 1-ibKA ax 之cc-iro愚Jn 11 才PTFLT法出 w 4 AIWft*4二二 ir 二 T.T1 可阻 LA- * g ； T

9、；急T 點廠EK而廠頁蚪舊口*W.-令箱白瑚EJq是;攵由】wSELUttiJT Dr：-4：4（氛偵尚 T.Im，口iEI Ee地_世巖白L心工止匕壓 工上打民親*上嶂K，=.安普南FF.”圖3大圖其他的在“類型”中，“應(yīng)用程序”類型表示該問題的存在是因為應(yīng)用程序不嚴(yán)謹(jǐn)，代碼存在安全問題而造成 的，修改方法就是修改原代碼；而“基礎(chǔ)結(jié)構(gòu)”類型，則表示該問題是配置問題，建議修改系統(tǒng)配置或者安裝 最新的補丁(經(jīng)常是中間件或數(shù)據(jù)庫補丁)。了解被測試網(wǎng)站在對網(wǎng)站進行測試之前，我們經(jīng)常需要先大概了解下這個網(wǎng)站，比如該網(wǎng)站使用了哪些技術(shù)，提供什么類型的 業(yè)務(wù)(功能)，網(wǎng)站規(guī)模等。這些都和我們的掃描設(shè)置相關(guān)

10、。如下圖，就是我們經(jīng)常使用的一個調(diào)查表，了解 被測試系統(tǒng)的基本特點。表2.記錄被測網(wǎng)站特點應(yīng)用系統(tǒng)名稱訪問地址應(yīng)用系統(tǒng)架構(gòu)(JEE/.Net/PHP) URL數(shù)量登陸方式備注其中，用戶經(jīng)常迷惑的是URL數(shù)量，有些時候，用戶很難評估出一個系統(tǒng)的大概頁面數(shù)量，而按照AppScan的 工作原理，掃描是針對頁面的每個參數(shù)的，如果頁面越多，參數(shù)越多，則掃描要運行的時間也就越長，掃描保 存成的接過文件也是越大，更需要進行分解。如果一個掃描任務(wù)，本身的已訪問URL數(shù)超過5000，評估的要 運行的安全測試用例數(shù)超過50，000，則建議進行掃描配置的分析，并根據(jù)分析結(jié)果，決定是否需要進一步的 任務(wù)分解和分工。那

11、么，如果可以了解到網(wǎng)站具體有哪些頁面呢？這里我們就可以利用AppScan的探索(頁面爬行)能力。在掃描配置里面設(shè)置了主URL以后，工作菜單中中依次選擇掃描-僅探索。對網(wǎng)站進行探索。一般會讓探索 工具運行10到30分鐘，看該網(wǎng)站具體存在哪些頁面，哪些參數(shù)等。這個就可以切換到“應(yīng)用程序數(shù)據(jù)”視 圖來查看。我們一般關(guān)心這幾個視圖：已訪問的URL()： AppScan已經(jīng)探索到并且進行了分析的頁面已過濾掉的URL()： AppScan已經(jīng)發(fā)現(xiàn)，同時根據(jù)掃描配置，認(rèn)為不需要進行安全掃描的頁面。中斷鏈接URL()： AppScan發(fā)現(xiàn)了，但是無法訪問到或者訪問出錯的頁面，如404頁面不存在，或者 500服

12、務(wù)器錯誤等。偽靜態(tài)頁面可以選擇左邊“我的應(yīng)用程序數(shù)據(jù)”中的URL樹下的每一個節(jié)點，察看該節(jié)點已訪問的URL,已過濾掉的URL 等。如在已訪問的URL()中，我們發(fā)現(xiàn)大量類似如下結(jié)構(gòu)的HTML頁面： HYPERLINK http:/www.Test.eom/focus/satisfy/file5.htmlhttp:/www.Test.eom/focus/satisfy/file6.html http:/www.Test.eom/focus/satisfy/file5.htmlhttp:/www.Test.eom/focus/satisfy/file6.html HYPERLINK http:/w

13、ww.T/m-zone/news/dgdd/quanbu/bylb/file5.html http:/www.T/m-zone/news/dgdd/quanbu/bylb/file5.html其共同特征，都是以html為后綴名，最后的文件名格式都是file+數(shù)字格式；這種類型的頁面經(jīng)常存在新 聞，論壇等。如果訪問這些頁面，發(fā)現(xiàn)頁面結(jié)構(gòu)相同，差異的都是里面的文本內(nèi)容，如提供不同的新聞內(nèi)容等， 這些頁面就是所謂的“偽靜態(tài)頁面”，其實是網(wǎng)站發(fā)布系統(tǒng)動態(tài)產(chǎn)生的，由于結(jié)果相似，在安全掃描中，沒有 必要針對這些頁面每次都進行掃描。如針對每個目錄下面存在的file+數(shù)字格式的頁面，我們就可以設(shè)置正則 表達(dá)式

14、來過濾，比如，在掃描配置-排除路徑和文件中排除所有該類型的頁面；.*filed+.html增加“例外”，對該類型的頁面只掃描file1.html和file20.html經(jīng)常存在的其他類似頁面，還有news1.html、content200.html等類型，采用方法類似。業(yè)務(wù)類型的“冗余路徑”和“偽靜態(tài)頁面”對應(yīng)的有另外一種動態(tài)頁面，這些頁面按照默認(rèn)的掃描規(guī)則，會被自動過濾，但是根據(jù)真實 的業(yè)務(wù)場景，這些頁面確實不能被過濾的，如訪問時候在“已過濾URL”內(nèi)會顯示有如下 的URL地址，過濾原因都是“路徑限制”：http:/www.T/default.aspx?content=inside_comm

15、unity.htmhttp:/www.T/default.aspx?content=inside_press.htm HYPERLINK http:/www.T/default.aspx?content=inside_executives.htm http:/www.T/default.aspx?content=inside_executives.htm選擇URL地址，鼠標(biāo)右鍵“在瀏覽器中顯示”，會發(fā)現(xiàn)這里顯示的頁面內(nèi)容完全不一樣，和上面的“偽靜態(tài) 頁面”正好相反，這些參數(shù)相同，參數(shù)值不同的動態(tài)頁面，是真正的業(yè)務(wù)頁面，是不能過濾掉；如果過濾，則 會很多后續(xù)的業(yè)務(wù)頁面無法發(fā)現(xiàn)。那這些頁面為什么會

16、被過濾了呢？按照什么樣的規(guī)則被過濾掉的？在AppScan中，默認(rèn)情況下是有一個“冗余路徑限制”(在“掃描配置-探索選型-冗余路徑限制”)， 默認(rèn)對于冗余的頁面，最多掃描5次，關(guān)鍵的問題是，什么頁面被被Appscan認(rèn)為是冗余頁面呢？圖4.冗余路徑設(shè)置掃描酣置UtL和明舅肆 釜誘胃理況除院怪和丈件賊g陽制回汨!踞徑眼削成”日景式1ST留掃常相同培徑的次熟.）回硒陶制吸）：20最尤乂琢 V1L拍毓點擊甄.J口 毗隅前也：叵2_ 桶大在頃謠鍍接羸后停止掃拗）簡單說： HYPERLINK http:/www.T/default.aspxfcontentmnside_community.htmhttp:

17、/www.T/default.aspxfcontentmnside_press.htm http:/www.T/default.aspxfcontentmnside_community.htmhttp:/www.T/default.aspxfcontentmnside_press.htmAppscan是根據(jù)“？”號來分隔的，如果？號前面的內(nèi)容都相同，則就被認(rèn)為是冗余頁面，所以上面的頁面就 是冗余頁面了。遇到這樣情況的頁面，最多被訪問5次。而這5次，具體是使用了哪些參數(shù)，是隨機的，具體訪問到的頁面 也會在“應(yīng)用程序數(shù)據(jù)”視圖的“已訪問的URL”中查看： HYPERLINK http:/www.T

18、/default.aspxfcontentwbusiness.htm http:/www.T/default.aspxfcontentwbusiness.htm HYPERLINK http:/www.T/default.aspxPcontentwbusiness_lending.htmhttp:/www.T/default.aspxfcontentmnside_contact.htm http:/www.T/default.aspxPcontentwbusiness_lending.htmhttp:/www.T/default.aspxfcontentmnside_contact.htm可是

19、，在本例中content參數(shù)值不同的時候，其實根據(jù)業(yè)務(wù)邏輯，不應(yīng)該算作“冗余頁面的”，而按照配置， 也會被自動過濾了，遇到這種情況，就需要考慮增加“冗余路徑限制”，如設(shè)置為20或者50。以可以更多次 訪問這些頁面。這些情況經(jīng)常存在于跳轉(zhuǎn)參數(shù)等情況。順便備注下，“冗余路徑限制”，功能設(shè)置的目的是為了處理類似論壇BBS等頁面，只有文本內(nèi)容不同，頁面 架構(gòu)完全相同的頁面：如 HYPERLINK http:/www.T/showthread.phpfidQhttp:/www.T/showthread.phpfidw2 http:/www.T/showthread.phpfidQhttp:/www.T/

20、showthread.phpfidw2 HYPERLINK http:/www.T/showthread.phpfidw3 http:/www.T/showthread.phpfidw3而我們在測試時候會發(fā)現(xiàn)每次的安全測試結(jié)果都可能有差別，一個很大的原因就是每次訪 問的頁面是不同的，就是這個設(shè)置的影響。分析重復(fù)的“腳本參數(shù)”在上面的步驟中，分析了 “偽靜態(tài)頁面”，對其應(yīng)該通過“排除路徑或者文件名”的方法設(shè)置排除規(guī)則；而對 于“業(yè)務(wù)類型的冗余路徑”，則需要通過增加“冗余路徑顯示”個數(shù)等的方法進行擴充，以掃描到這些URL。 我們在這個步驟來分析另外一種參數(shù)，腳本參數(shù)。在“我的應(yīng)用程序數(shù)據(jù)”樹狀結(jié)構(gòu)

21、下，鼠標(biāo)選擇目錄以后，在右邊視圖中選擇“腳本參數(shù)”，然后查看是否存 在不同頁面（URL）存在相同或者類似參數(shù)的情況：如下圖，在不同URL中，都存在kbKey參數(shù)，默認(rèn)的參數(shù) 值是“請輸入您要搜索的問題”：圖5.腳本參數(shù)v運用亍u炭問座晨程序R纓URLTLI*xlhilp :/-rrt%-.-髀材溢翌腿耕:陽Lh1lillp :/JWAV.、眸u毋要陌的liXlih;lp ./Jrftv.詢海笠屐的區(qū)距迓Ieli*Lp :/Jwrw.=也3中IE1|頃；fjc.承JS費野的阿聰lexllilp ； i Ar”.港人祺史嚀tfitrsfrIrj-llllp : f/rfd.帝加利 蜜祝和TEisC

22、kia餛以專中第冽奏心Tw.lilp : Z/mr.J khStj-Texl酒 火您無世室的巨霆ybKtcrTextmtp: ZAe .相人塔丑 瞄險M漁l Hi Xp-vTF整打芯3瞄的空網(wǎng)*kbLKey恁既KG神虎距圖5大圖訪問這些URL，發(fā)現(xiàn)每個頁面內(nèi)都包含了一個搜索功能，這就是為什么在不同頁面都發(fā)現(xiàn)了該參數(shù)。而從業(yè)務(wù) 角度，這些搜索頁面在一個URL中進行測試以后，沒有必要在另外一個頁面也進行測試。而且該參數(shù)值的變化， 可以認(rèn)為是冗余頁面，沒有必要進行下一步的重新探索和測試。這可以通過上圖中，選擇該參數(shù)后，鼠標(biāo)右鍵， 選擇“添加到參數(shù)和Cookie選項卡中的列表”來實現(xiàn)。選擇后彈出下面的

23、頁面：圖表6添加參數(shù)定義（根據(jù)參數(shù)來設(shè)置冗余路徑）圖6大圖在該頁面中，點擊“其他選項一冗余調(diào)整”，取消選擇任何一個選擇框，則表示無論是否含有該參數(shù)，無論該 參數(shù)值是否發(fā)生變化，都不認(rèn)為是新頁面，沒有必要重新測試，而且不應(yīng)該因為該參數(shù)的變化去影響其他參數(shù) 的測試。我們知道，AppScan中的測試，是針對頁面的每個參數(shù)進行的，而且一個參數(shù)值的變化會要求重新測試其他的 參數(shù)，所以該設(shè)置，可以大大減少測試用例數(shù)。關(guān)于更多的設(shè)置說明，可以參照下面的解釋：表3.設(shè)置說明選框口迭中時口只要添加或除去此參數(shù)在探索階段，如果兩個URL的唯區(qū)別在個包括此參數(shù)，而另個不包括此手?jǐn)?shù) 那么將其視為不同URL并且對兩者都

24、進行探索口 +例如，如果是以F倆個URL,癖譜都將進行探索：.page.jspipagejapTthisParanValue 1如果您取消選中此復(fù)選罹，那么在此情況下，將僅發(fā)屋-個請求，而其他請求將被廢棄只要此參數(shù)/cookie的值更改， 在探索階段，如果兩個URL的唯一區(qū)別在于此參數(shù)bookie的值，那么將其視為不同 URL并且對兩者都進行探索。i例如，如果是以卜倆個URL,期諺鄂將進行探索；+p age. jspTthisParan Value 14page.jsp?thisParain=Value2 4如果您取消選中此復(fù)選框，那么在此情況下，將僅我送一個請求，而其他請求將被廢棄只要添加或

25、除去此參數(shù)/cookie,便重復(fù)所有相鄰參數(shù)一在測試階段，如果兩個URL的唯一區(qū)別在已添加或除去了此參數(shù)，那么將其視為不同 URL并且再次測試相鄰參數(shù)。i例如，如果是以卜期個URL將為相鄰參數(shù)生成廂羌褰的測試，每個URL一組。4.page.jsp?adj日匚entParani= +.page.jsp?adja匚EritP8ajii=&thisParam=Value4如果您取消選中此豆選框，將為相鄰券數(shù)值生成一組測試。p只要此參數(shù)/cookie的值夏改， 便重復(fù)所有相鄰參數(shù)/cookie 測試。E在測試階段，如果兩個URL的唯一區(qū)別在于此參數(shù)/cookie的值，那么將其視為不同 URL并且再淀測

26、試相鄰參數(shù)。i例如，如果是以卜函個URL,將為相鄰參數(shù)生成薄芫塞的測試，每個URL一組。4page.jsp?adjacentParam=SrthisParam=Value14page jsp?adjacentParani=SrthisParam=Value2 如果您取消選中此復(fù)選尾 將為相鄰參數(shù)僅生成一組測試，查看每個目錄頁面?zhèn)€數(shù)如果一個掃描任務(wù)，本身的已訪問URL數(shù)超過5000,評估的要運行的安全測試用例數(shù)超過20, 000,則建議 進行掃描配置的分析，并根據(jù)分析結(jié)果，決定是否需要進一步的任務(wù)分解和分工。我們在“我的應(yīng)用程序數(shù)據(jù)”樹狀結(jié)構(gòu)下，鼠標(biāo)選擇目錄以后，在右邊視圖中選擇“已訪問的URL

27、（） ”，記錄 URL數(shù)目，如果該目錄URL數(shù)目比較大（超過500）則可以考慮為該目錄單獨建立一個掃描任務(wù)，只掃描該目 錄下面的鏈接。執(zhí)行階段根據(jù)在“計劃階段”確定的掃描策略，和進行的掃描設(shè)置，重新進行探索（掃描菜單依次選擇：重新掃描-重 新探索）；后繼續(xù)分析頁面數(shù)和測試用例數(shù)目，如果控制頁面數(shù)5000個以內(nèi)，測試用例數(shù)20，000個以內(nèi)， 則可以直接進行掃描；如果沒有，建議繼續(xù)分析，優(yōu)化掃描配置。分階段測試AppScan的掃描過程分為“探索”和“測試”兩個階段，默認(rèn)情況下，使用的是完全掃描模式，即是邊探索邊 測試的。如果網(wǎng)站比較大，建議考慮先探索后測試的模式。如當(dāng)URL達(dá)到5000，需要進行

28、的測試達(dá)到50000的時候，可以暫停掃描，手工停止探索，選擇“繼續(xù)僅測 試”。對已經(jīng)發(fā)現(xiàn)和分析的頁面進行測試，測試完畢，再來選擇“繼續(xù)僅探索”，即：繼續(xù)僅探索繼續(xù)僅測試一繼續(xù)僅探索-僅測試的一個循環(huán)過程。在這個過程，一個階段結(jié)束以后，建議查看下.Scan文件的大小，如果大小超過了 500M，則建議考慮任務(wù)分 解，可以根據(jù)目錄把一個掃描任務(wù)分解為多個，或者根據(jù)掃描策略來進行分解。該方法是利用了 AppScan掃描過程中，探索測試可以分離，而且支持掃描過程中斷后繼續(xù)掃描的特性。按照業(yè)務(wù)分解掃描任務(wù)在實際工作中，我們掃描的一個大型網(wǎng)站，往往包含多個頻道，而每個頻道可能需要的掃描配置都不同，這些 配置

29、甚至互相沖突。如一個網(wǎng)站的提供了 BBS論壇功能： HYPERLINK http:/www.T/WWW.TEST.COM/showthread?channel=1&thread=1001 http:/www.T/WWW.TEST.COM/showthread?channel=1&thread=1001 HYPERLINK http:/www.T/WWW.TEST.COM/showthread?channel=30&thread=2001 http:/www.T/WWW.TEST.COM/showthread?channel=30&thread=2001對于這樣的頁面，訪問后發(fā)現(xiàn)頁面結(jié)構(gòu)相同，只

30、是文本內(nèi)容不同，則應(yīng)該使用“冗余路徑限制”參數(shù)，控制掃 描次數(shù)，沒有必要多次掃描。同時，該網(wǎng)站的一個服務(wù)頻道存在如下的頁面： HYPERLINK http:/www.T/default.aspxfcontentmnside_executives.htm http:/www.T/default.aspxfcontentmnside_executives.htm HYPERLINK http:/www.T/default.aspxPcontentwprivacy.htm http:/www.T/default.aspxPcontentwprivacy.htm即上面提到的業(yè)務(wù)類型的“冗余路徑”，應(yīng)該

31、多次掃描，配置上要求增大“冗余路徑限制”參數(shù)。 在這種情況下，就很有必要根據(jù)業(yè)務(wù)分別建立掃描任務(wù)，每個任務(wù)采用不同的掃描配置。檢查階段在掃描執(zhí)行過程中，需要檢查，看是否存在下面的情況：提示網(wǎng)絡(luò)連接不上，或者提示部分頁面無法打開。則檢查是否是掃描速度過快，服務(wù)器不能承受不了， 根據(jù)情況修改掃描配置-連接-通信和代理，增加“超時”數(shù)，并考慮減少“并發(fā)線程數(shù)”，以允許更長時 間的等待頁面影響并減少對服務(wù)器的訪問連接數(shù)。發(fā)現(xiàn)掃描出的安全問題，包含我們不關(guān)心的安全隱患，則取消掉這些規(guī)則。如發(fā)現(xiàn)了一個安全隱患， 類型是“SQL注入文件寫入（需要用戶驗證）”，該問題是需要用戶根據(jù)提示來檢查的，并且是針對SQ

32、L數(shù)據(jù) 庫的，如果我們使用的數(shù)據(jù)庫不是SQL數(shù)據(jù)庫，或用戶確認(rèn)后沒有發(fā)現(xiàn)線索，則就可以在掃描配置-測試-測 試策略中取消選擇該策略。執(zhí)行“計劃階段”的檢查，看是否還存在“偽靜態(tài)頁面”，“業(yè)務(wù)類型的冗余路徑”等，如果存在， 則調(diào)整掃描配置。分析階段在分析階段，結(jié)合業(yè)務(wù)特點，檢查是否掃描范圍，分析掃描結(jié)果，并針對掃描出來的問題，進行分析，產(chǎn)生多 種類型的報告等。掃描結(jié)果檢查掃描結(jié)束后，建議切換到“應(yīng)用程序數(shù)據(jù)”視圖中，對頁面進行分析，檢查是否核心頁面都被測試到了。重點 檢查如下部分：交互式URL： 一些頁面，必須輸入正確的信息，才可以跳轉(zhuǎn)到下一個頁面，比如查詢手機欠費的頁面， 必須輸入正確的11位

33、手機號碼；查詢身份信息的頁面，必須輸入18位的身份證號才可以進入后續(xù)頁面。如 果沒有配置，AppScan怎么知道輸入這些信息？所以如果存在“交互式”URL，可以選擇該URL以后，鼠標(biāo)右 鍵，選擇手動探索，在AppScan瀏覽器中訪問這些頁面，輸入對應(yīng)的數(shù)據(jù)，則AppScan會自動記錄這些輸入， 并填充到掃描配置-自動表單填充中。中斷鏈接：看哪些頁面在掃描過程中，訪問出錯或者無法訪問，如針對time out的頁面，就可能是 因為網(wǎng)絡(luò)原因，掃描過程中沒有及時響應(yīng)，可以選擇“重試所有中斷鏈接”重新進行訪問。報告分析我們需要對報告進行對比分析或者報告匯總合并，方法如下：增量分析：在實際工作中，經(jīng)常對一

34、個網(wǎng)站進行定期掃描，那么我們可以使用報告對比功能，對比兩 次產(chǎn)生的結(jié)果，檢查哪些問題已經(jīng)修改，哪些是新發(fā)現(xiàn)的安全隱患。方法是選擇報告-增量分析。報告匯總和合并：而如果我們在執(zhí)行階段，按照業(yè)務(wù)或者目錄進行了分解，最后可能需要對多份掃描 結(jié)果進行合并和匯總，合并過程中重復(fù)的問題只記錄一次，如掃描任務(wù)A和任務(wù)B都發(fā)現(xiàn)了 apply.jsp的ID 參數(shù)存在XSS安全隱患，則合并后只記錄一次。報告的合并需要使用到AppScan企業(yè)版，其具有AppScan標(biāo) 準(zhǔn)版的掃描功能和強大的報告匯總功能，可以產(chǎn)生儀表盤，報告的對比分析，趨勢分析等?？梢园袮ppScan標(biāo) 準(zhǔn)版的報告發(fā)布到AppScan企業(yè)版中，方法

35、是菜單欄中依次選擇文件-導(dǎo)出-將結(jié)果發(fā)布到AppScan Enterpriseo圖7. AppScan標(biāo)準(zhǔn)版的掃描結(jié)果發(fā)布到企業(yè)版案例分析工作中遇到一個案例，使用AppScan掃描掃描了 3*24小時，掃描的scan文件已經(jīng)達(dá)到9G；掃描還在持續(xù) 進行中，總體進度完成了 30%，可以想象掃描速度已經(jīng)很緩慢，還需要多長時間才可以完成掃描？掃描完成以 后如此大的結(jié)果文件是否可以成功打開和修改保存？按照我的經(jīng)驗，如果掃描結(jié)果文件大于1G，那就很有必要立即停止掃描，進行配置分析。我們的分析過程如下：和用戶討論，確認(rèn)關(guān)心的安全問題，根據(jù)這些安全問題制定測試策略；討論后確定選擇“SQL注入” 和“跨站點腳

36、本編制”兩種類型的安全隱患。確定網(wǎng)站范圍，被掃描應(yīng)用是典型運營商門戶網(wǎng)站，重點要掃描門戶網(wǎng)站自身和其上面提供的“網(wǎng)上 營業(yè)廳”服務(wù)。分析被測網(wǎng)站，使用AppScan配置了網(wǎng)站主頁面，然后選擇“僅探索”運行20分鐘后，發(fā)現(xiàn)30， 000多個頁面。停止探索，開始分析頁面。分析發(fā)現(xiàn)該網(wǎng)站同一個鏈接，存在http、https訪問的不同情況，而且兩種訪問方式訪問到的頁面 內(nèi)容相同，則過濾掉https的請求，集中測試http請求。分析發(fā)現(xiàn)存在大量的“偽靜態(tài)頁面”，如： HYPERLINK http:/www.Test.eom/focus/satisfy/file5.html http:/www.Test.

37、eom/focus/satisfy/file5.html HYPERLINK http:/www.Test.cOm/focus/satisfy/file6.html http:/www.Test.cOm/focus/satisfy/file6.html在掃描配置-排除路徑和文件中:排除所有該類型的頁面；.*filed+.html增加“例外”，對該類型的頁面只掃描file1.html和file20.html同時，發(fā)現(xiàn)了 swf文件，應(yīng)該不準(zhǔn)備掃描Flash，所以在“排除文件類型”中，設(shè)置根據(jù)后綴名排 除swf文件。發(fā)現(xiàn) HYPERLINK http:/www.T/service http:/ww

38、w.T/service目錄下存在大量如下類型的頁面，都是menu參數(shù)值不同，訪問以后發(fā)現(xiàn)出現(xiàn)的是頁面中有不同的超鏈接： HYPERLINK http:/www.T/service/Business.doPmenuwQuery http:/www.T/service/Business.doPmenuwQuery HYPERLINK http:/www.T/service/Business.dofmenuRpenhttp:/www.T/service/Business.doPmenuwService http:/www.T/service/Business.dofmenuRpenhttp:/www.T/service/Business.doPmenuwService確認(rèn)