AppScan安全測(cè)試文檔

AppScan安全測(cè)試（一）——朱晟、徐春梅目錄典型工作流程安全測(cè)試實(shí)例——“歐索在線測(cè)評(píng)平臺(tái)”典型工作流程1、選擇一個(gè)掃描模板2、打開配置向?qū)Р⑦x擇Web應(yīng)用掃描和Web服務(wù)掃描中的一種。3、用向?qū)?chuàng)建掃描：

為應(yīng)用掃描：為Web服務(wù)掃描a.填入開始的URLa.填入WSDL文件位置b.（推薦）手動(dòng)執(zhí)行登錄指南b.（可選）檢測(cè)測(cè)試策略c.（可選）檢測(cè)測(cè)試策略c.在AppScan錄入用戶輸入和回復(fù)時(shí)，用自動(dòng)打開的Web服務(wù)探測(cè)器接口發(fā)

送請(qǐng)求到服務(wù)端。4、（可選）掃描專家a.打開掃描專家來(lái)檢查用戶為應(yīng)用掃描配置的效果b.檢查提示配置改變并選擇合適的。5、開始自動(dòng)掃描典型工作流程6、檢查結(jié)果并（必需）：為沒(méi)有發(fā)現(xiàn)的鏈接額外執(zhí)行手工的掃描打印報(bào)告檢測(cè)糾正工作*手動(dòng)掃描1、點(diǎn)“手動(dòng)檢查”：打開瀏覽器2、了解站點(diǎn)，點(diǎn)擊鏈接填入輸入需要的地址3、結(jié)束時(shí)關(guān)閉瀏覽器：一個(gè)檢查URL對(duì)話框出現(xiàn)4、如果列表符合要求，點(diǎn)擊確定目錄典型工作流程安全測(cè)試實(shí)例——“歐索在線測(cè)評(píng)平臺(tái)”安全測(cè)試實(shí)例掃描配置向?qū)呙枧渲猛耆珤呙钂呙枧渲孟驅(qū)л斎險(xiǎn)RL地址：84:10001/ote.os備注：1、從該URL啟動(dòng)掃描：輸入應(yīng)用程序的URL,掃描

會(huì)從該URL開始2、要檢查輸入的“起始URL”是否正確，可以在AppScan瀏覽器中查看所輸入的URL3、區(qū)分大小寫路徑：選中該復(fù)選框時(shí)（缺?。瑑H因大小寫而有區(qū)別的鏈接將被視為不同的頁(yè)

面。4、其他服務(wù)器和域：如果應(yīng)用程序包含的服務(wù)器

或域不同于“起始URL”包含的服務(wù)器或域，

但AppScan許可證包含這些服務(wù)器或域，那么

您必須將它們添加到此處，以便將它們包含在

掃描中。5、我需要配置其他連接設(shè)置：缺省情況下AppScan會(huì)使用IE代理設(shè)置，僅當(dāng)想要

AppScan使用其他代理時(shí)選中該復(fù)選框。URL和服務(wù)器掃描配置向?qū)нx擇默認(rèn)的“記錄（推薦）”方式，點(diǎn)擊【記錄】按鈕，AppScan瀏覽器會(huì)打開掃描的啟示URL，成功登陸后，關(guān)閉該瀏覽器。備注：1、記錄（推薦）：如果選擇該選項(xiàng)，AppScan將使用

您記錄的登錄過(guò)程，像實(shí)際用戶一樣填充字段并

單擊鏈接。這是建議的登錄方法。2、提示：如果每次登錄都需要人機(jī)交互（如驗(yàn)證

碼），則選擇“提示”。在這種情況下，必須仍

然記錄登錄過(guò)程，雖然AppScan不會(huì)使用記錄的過(guò)

程來(lái)嘗試登錄，但是他需要將該過(guò)程作為參考來(lái)

了解何時(shí)已被注銷。3、自動(dòng)：如果AppScan可僅使用名稱和密碼來(lái)登錄，

而不需要特定的過(guò)程，選擇該選項(xiàng)，輸入“用戶

名”“密碼”。4、無(wú)：僅當(dāng)應(yīng)用程序不需要登錄時(shí)，或因?yàn)槠渌?/p>

因，不想AppScan登錄時(shí)，才選擇該選項(xiàng)。

登錄管理掃描配置向?qū)呙枧渲孟驅(qū)y(cè)試策略選擇：Default備注：檢查“測(cè)試策略”是否適合需要。（如果不能肯定，保持“缺省測(cè)試策略”）。

測(cè)試策略掃描配置向?qū)渥ⅲ哼x擇以下某個(gè)選項(xiàng)：1、啟動(dòng)全面自動(dòng)掃描：?jiǎn)?dòng)應(yīng)用程序的全面掃

描（“探索”后將立即進(jìn)行“測(cè)試”）。2、僅使用自動(dòng)“探索”啟動(dòng)：探索應(yīng)用程序，

但不繼續(xù)“測(cè)試”階段（可以稍后運(yùn)行“測(cè)

試階段”）。3、使用“手動(dòng)探索”啟動(dòng)：會(huì)打開瀏覽器，可

以單擊鏈接并填充字段，以手動(dòng)探索站點(diǎn)。AppScan將記錄結(jié)果，以便在“測(cè)試”階段

使用。4、我將稍后啟動(dòng)掃描：關(guān)閉向?qū)В粏?dòng)掃描。

下次啟動(dòng)掃描時(shí)，會(huì)使用該模板。完成“掃描配置向?qū)А焙髥?dòng)“掃描專家”：

（只有已選擇前三個(gè)掃描選項(xiàng)之一時(shí)，該復(fù)選

框才是活動(dòng)的）如果希望“掃描專家”主掃

描啟動(dòng)前評(píng)估配置，選擇該復(fù)選框。選擇“啟動(dòng)全面自動(dòng)掃描”，勾選中“完成‘掃描配置向?qū)А髥?dòng)‘掃描專家’”。

完成安全測(cè)試實(shí)例掃描配置向?qū)呙枧渲猛耆珤呙钂呙枧渲迷诤芏嗳笔∵x項(xiàng)都不需要更改時(shí)，“掃描配置向?qū)А笔桥?/p>

置和啟動(dòng)掃描的最簡(jiǎn)單方法。但是，如果需要更改高級(jí)選

項(xiàng)，那么要使用“掃描配置”。掃描配置對(duì)話框會(huì)提供配置掃描的很多選項(xiàng)，通過(guò)“掃描

配置向?qū)А币部色@得主要的選項(xiàng)。在工具欄上，單擊掃描配置圖標(biāo)或者單擊“掃描配

置向?qū)А弊笙陆堑摹巴耆珤呙枧渲谩辨溄?，即可打開掃描

配置界面。掃描配置備注：URL和服務(wù)器，登錄管理測(cè)試策略與

掃描配置向?qū)е袃?nèi)容相近，這里不需

要再重新配置了。掃描配置環(huán)境定義備注：1、環(huán)境定義并不重要，但是可

以使AppScan在掃描期間以

安全的方式避免發(fā)送無(wú)關(guān)測(cè)

試，

使得掃描更加迅速和

精確。2、每個(gè)選項(xiàng)可以選擇多項(xiàng)。掃描配置排除路徑和文件備注：1、可以配置AppScan以忽略應(yīng)用程

序中某些路徑或文件的特定類

型。但是應(yīng)該謹(jǐn)慎應(yīng)用排除，

因?yàn)樗鼈兛赡芫哂兄匾獑?wèn)題。2、可以通過(guò)將URL(可能包括查詢

的完整路徑)或“正則表達(dá)式”

添加到排除或包括路徑列表，

來(lái)過(guò)濾“探索”階段的作用域。3、可以配置AppScan以忽略掃描期

間的特定文件類型。例如，如

果排除了圖形文件，那么掃描

將會(huì)運(yùn)行得更快，但是應(yīng)該謹(jǐn)

慎使用排除文件。掃描配置點(diǎn)擊排除路徑中的“+”按鈕

例如該系統(tǒng)中“我的消息”模塊已經(jīng)側(cè)過(guò)了，則將我的消息排除在外，掃描時(shí)就不會(huì)掃描此界面。掃描配置探索選項(xiàng)

備注：1、“掃描限制”確定AppScan探索應(yīng)

用程序的深度（或速度）2、“JavaScript”

和“Flash”選項(xiàng)確

定AppScan應(yīng)該忽略還是掃描這些

腳本3、“探索方法”確定繼續(xù)下一個(gè)頁(yè)面

之前AppScan是探索頁(yè)面上的所有

鏈接，還是探索它所找到的每個(gè)新

鏈接。掃描配置參數(shù)和cookie備注：1、用于管理由AppScan從應(yīng)用程序所接

收到的參數(shù)和cookie的全局列表，

以及自己的定制參數(shù)。2、“探索”階段，AppScan自動(dòng)檢測(cè)可

能是會(huì)話標(biāo)識(shí)的cookie和HTML參數(shù)，

并將其添加到此列表?？梢允謩?dòng)添

加知道是會(huì)話標(biāo)識(shí)的cookie和參數(shù)。3、應(yīng)用程序可能具有某些參數(shù)和cookie,如果測(cè)試期間，不希望AppScan控制他們的值，要確保AppScan沒(méi)有更改這些參數(shù)和cookie，

請(qǐng)從測(cè)試中排除。掃描配置自動(dòng)表單填充備注：1、自動(dòng)表單填充是指AppScan填充應(yīng)用程序中的表單所用的值。許多表單存在缺省值，并且這些值會(huì)自動(dòng)更新以包含在“記錄的登錄”期間輸入的任何值。掃描配置多步驟操作備注：1、應(yīng)用程序某些部分只能通過(guò)按特定順序發(fā)送請(qǐng)求才能達(dá)到的情況下使用。2、通過(guò)“多步驟操作”，可以記錄和管理一個(gè)或多個(gè)此類序列。學(xué)員測(cè)評(píng)，必須登錄后才可以參與，必須考完試后才可以查看測(cè)評(píng)結(jié)果；則必須進(jìn)行多步驟操作：先登錄，在參與考試，考完試后才可以查看測(cè)評(píng)結(jié)果。掃描配置1、點(diǎn)擊開始按鈕選擇：記錄（不登錄）。2、AppScan瀏覽器打開，參照（登錄），進(jìn)行登錄。3、登錄后，點(diǎn)擊【我的測(cè)評(píng)】

點(diǎn)擊試卷“創(chuàng)新意識(shí)測(cè)試”試卷，開始考試。掃描配置4、點(diǎn)擊【點(diǎn)擊開始測(cè)評(píng)】按鈕，開始考試。5、考完試后，點(diǎn)擊提交按鈕。6、點(diǎn)擊【測(cè)評(píng)結(jié)果】查看考試結(jié)果。掃描配置7、關(guān)閉AppScan瀏覽器，返回掃描配置界面。查看序列列表。

掃描配置通信和代理備注：1、超時(shí)：設(shè)置AppScan等待來(lái)自Web服務(wù)器的響應(yīng)的時(shí)間限制。2、線程數(shù)：如果發(fā)現(xiàn)AppScan發(fā)

出的高速請(qǐng)求使網(wǎng)絡(luò)或服務(wù)器

超負(fù)