一、环境搭建
1.软件下载
下载地址:www.ibm/developerworks/cn/downloads/r/appscan/
破解版下载地址:pan.baidu/s/1dFFti85 密码:u7z3
2.软件安装
直接运行安装包,按照提示安装即可
3.软件破解
将破解补丁替换“..\..\IBM\AppScan Standard”安装目录下同名文件
二、测试流程
以下内容以appscan9.0为例
4.启动appscan
点击运行即可
5.创建扫描
1)在欢迎页面选择->创建新的扫描…,打开新建扫描面板,如下图:
2)9.0没有综合扫描模板,一般选择常规扫描模板,选择模板后打开扫描配置面板,如下图:
3)在扫描向导中选择扫描类型,一般选择web应用程序扫描;
若要选择web service扫描,需安装GSC;
除了按照提示一步步操作,也可以点击右下角完全扫描配置进行扫描配置(具体可参照二.3);
选择完扫描类型后,点击下一步打开配置URL和服务器面板,如下图:
4)起始URL中输入要扫描的站点,可以是域名格式,也可以是IP格式;
如果勾选了“仅扫描此目录中或目录下的链接”,则会只扫描起始URL目录或者子目录中的链接;
区分大小写的路径:如果选中,则大小写不同的链接会被视为两个页面,如A.apsx和a.spsx;建议linux或UNIX服务器时勾选,windows服务器时不勾选;
其他服务器和域:如果应用程序包含的服务器或域不同于“起始 URL”包含的服务器或域,则应该添加到此处,如www.baidu和mp3.baidu二级域不同;
我需要配置其他连接设置:缺省情况下,AppScan 会使用 Internet Explorer 代理设置,默认不勾选,若勾选,点击下一步会打开配置代理页面;
配置完成后,点击下一步打开登录管理面板,如下图:
5)登录管理提供4种选项:
a)记录:推荐使用,选择此项,appscan将使用所记录的登录过程,从而像实际用户一样填写字段。
单击记录按钮,打开自带浏览器记录登录过程,登录完成后关闭浏览器,会自动将 登录过程列出。
b)提示:如果每次登录都需要人机交互,请选择该选项。
您必须仍然记录登录过程。虽然 AppScan 将不会使用您记录的过程来尝试登录, 但是它需要将该过程作为参考来了解何时已被注销。
c)自动登录:如果 AppScan 可仅使用名称和密码来登录,而不需要特定的过程,请选择该选项,然后输入“用户名”和“密码”。
d)不登录:仅当应用程序不需要登录时,或因为其他原因,您不想 AppScan 登录时,才选择该选项。
若账号密码错误,会提示:回话页面未识别,需修改登录管理方式或登录账号密码
如果选中我想要配置会话中检测选项复选框,那么在单击下一步时,将会打开一个附加的向导步骤:登录管理:“其他”设置。默认不选中。
登录管理配置完成后,点击下一步,打开测试策略面板,如下图:
6)Appscan预定义的测试策略可满足常见需求的有用策略的范围:
策略名称 | 描述 |
缺省值 | 包含所有测试,但侵入式和端口侦听器测试除外。 |
仅应用程序 | 包含所有应用程序级别的测试,但侵入式和端口侦听器测试除外。 |
仅基础结构 | 包含所有基础结构级别的测试,但侵入式和端口侦听器测试除外。 |
仅第三方 | 包含所有第三方级别测试,但侵入式和端口侦听器测试除外。 |
侵入式 | 包含所有侵入式测试(可能影响服务器稳定性的测试)。 |
完成 | 包含所有 AppScan 测试,但端口侦听器测试除外。 |
Web 服务 | 包含所有 SOAP 相关测试,但侵入式和端口侦听器测试除外。 |
关键的少数 | 包含一些成功可能性极高的测试精选。 在时间有限时对站点评估可能有用。如何启用javascript功能 |
开发者精要 | 包含一些成功可能性极高的应用程序测试的精选。 在时间有限时对站点评估可能有用。 |
a.发送登录和注销页面上的测试:缺省情况下,AppScan 将测试登录和注销页面以及应用
程序的其余部分。 您应该保持该缺省配置,除非: 您的应用程序具有安全保护,可阻止在这些页面上提供非法输入的用户,或如果测试这些页面,您的应用程序流程会改变
如果不确定您的应用程序会如何响应这些测试,那么请保持选定该选项。
b.在测试登录页面时不发送会话标识:(该复选框仅当选中了先前复选框时才会处于活动
状态并缺省选中。)建议将此复选框保留为选中状态,因为测试登录页面时会话标识可能会导致测试不成功。仅当您确定需要有效会话令牌来测试登录页面时,才应清除该复选框。
如果不确定您的应用程序会如何响应,那么请保持选定该选项。
完成测试策略配置后,点击下一步将打开完成配置面板,如下图:
7)完成配置面板可供选择启动扫描的方式如下:
a.启动全面自动扫描:启动应用程序的全面扫描(“探索”后将立即进行“测试”)。
b.使用仅自动“探索”来启动:探索应用程序,但不继续“测试”阶段。(可以稍后运行“测试”阶段)。
c.使用手动探索来启动:浏览器将打开,并且您可以通过单击链接并填写字段来手动探索站点。AppScan® 将记录结果,以便在“测试”阶段使用。
d.我将稍后启动扫描:关闭向导,不启动扫描。下次启动扫描时,会使用该模板。
e.完成扫描配置后启动扫描专家:如果想要在启动主扫描之前让扫描专家来评估配置,请选中此复选框。扫描专家会登录应用程序并执行简短、初步的扫描,以评估已配置的设置。如果需要,会建议更改配置。
8)点击完成按钮,appscan会按照配置内容开始扫描应用程序。
6.完全扫描配置
1)URL和服务器:与创建扫描时一致
2)登录管理:与创建扫描时一致
3)环境定义:包括操作系统、web服务器、应用程序服务器、数据库类型、第三方组件、站点位置、站点类型、部署方法、潜在间接损害、目标分布、可用性需求、机密性需求、完整性需求。
环境定义并不重要,选择以后,可以使扫描避免无效测试,提高效率
4)排除路径和文件:通过配置,扫描程序时会忽略应用程序中的某些路径或文件的特定类型,一般默认即可。
5)探索选项:包括扫描限制、javascript和flash、探索方法、编码、用户代理程序;
扫描限制:确定appscan探索应用程序的深度,包括冗余路径限制、单击深度限制、总页面限制,勾选后超过数目则不进行扫描;
Javascript:确定appscan探索还是忽略javascript脚本,包括解析JavaScript代码以发现U
RL、执行JavaScript来发现URL和动态内容、重放登录时执行JavaScript。前两个勾选后appscan会分析扫描javascript脚本;如果应用程序的登录页面使用JavaScript代码,那么必须选中第三个才能使AppScan可以在扫描期间进行登录。
Flash:确定appscan探索还是忽略flash脚本,包括解析Flash以发现URL、执行Flas件以发现潜在漏洞。这两个都勾选后appscan会分析扫描javascript脚本。
探索方法:确定appscan探索时是以宽度优先还是深度优先:宽度优先是指逐页探索,在继续下一页面前探索一个页面上的所有链接,推荐选择这个。深度优先是指按照链接逐一探索,并在它到新链接时对每个新链接进行探索。
编码:AppScan 通常会自动检测应用程序的编码方法,因此缺省情况下会选中自动检测。
如果扫描结果中的响应内容似乎失真,那么这可能意味着未正确识别编码方法。要解决此问题,请从下拉列表中选择正确的编码方法。
用户代理程序:AppScan 通常会自动检测用户代理程序,但是,如果您使用的浏览器不是内置浏览器,且不记录登录过程、多步骤操作或手动探索,AppScan 将无法进行自动检测,
因此您必须手动选择用户代理程序。
6)参数和cookie:此视图用于管理三项主要功能:
向特定参数和cookie指定特殊处理;
定义具有AppScan®可能无法自行识别的特殊格式的参数和cookie;
控制对参数和cookie的缺省处理(“冗余调整”)
“参数和 cookie”选项卡:使您能够查看、添加、编辑和删除全局参数。
例如,您的应用程序可能具有某些特定的参数和cookie,而您不希望AppScan在测试期间操纵它们的值。要确保AppScan没有更改这些参数和cookie,请从测试中排除。例如,如果某些cookie或参数的值被更改,那么您的应用程序可能会锁定某个用户会话。您应该将这些参数从控制中排除。如果您没有将其排除,AppScan可能无法成功完成扫描,因为这些 cookie会将AppScan锁定到应用程序之外。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论