APPSCAN掃描問(wèn)題結(jié)果.ppt

1、Appscan掃描問(wèn)題結(jié)果詳述,朱晟,結(jié)果：安全問(wèn)題,Rational AppScan 提供了查看和處理掃描結(jié)果的三種方法：“安全問(wèn)題”、“修復(fù)任務(wù)”和“應(yīng)用程序數(shù)據(jù)”。 本部分是討論“安全問(wèn)題視圖”。 “安全問(wèn)題”概述 安全問(wèn)題：應(yīng)用程序樹(shù) 安全問(wèn)題：結(jié)果列表 安全問(wèn)題：詳細(xì)信息窗格 Manual Test,安全問(wèn)題”概述,安全問(wèn)題視圖”提供掃描結(jié)果的信息和訪問(wèn)權(quán)。你可以在高級(jí)別查看結(jié)果，或者選擇特定測(cè)試或?qū)ο蟛⒃L問(wèn)更多詳細(xì)信息。這些詳細(xì)信息包括：咨詢、修訂建議、請(qǐng)求/響應(yīng)，和引發(fā)問(wèn)題的測(cè)試變體之間的差異。 你可以控制問(wèn)題的嚴(yán)重性，重新發(fā)送測(cè)試（可修改可不修改），并基于“問(wèn)題”創(chuàng)建報(bào)告。 在

2、視圖選擇器上單擊安全問(wèn)題,安全問(wèn)題：應(yīng)用程序樹(shù),應(yīng)用程序樹(shù)顯示已掃描的應(yīng)用程序的文件夾和文件。樹(shù)中每個(gè)節(jié)點(diǎn)都有一個(gè)計(jì)數(shù)器，顯示節(jié)點(diǎn)包含多少個(gè)問(wèn)題。 在“應(yīng)用程序樹(shù)”中，您可以： 選擇一個(gè)節(jié)點(diǎn)，以過(guò)濾在結(jié)果列表中顯示的問(wèn)題。 使用右鍵單擊菜單來(lái)“在瀏覽器中查看”、“手動(dòng)探索”、“手動(dòng)測(cè)試”、“記錄多步驟操作”、“復(fù)制URL”和“從掃描中排除 URL”。 如果你定義了基于內(nèi)容的規(guī)則，那么你可以通過(guò)單擊窗格頂部的組合框，在“基于 URL 的”視圖和“基于內(nèi)容的”視圖之間切換,從掃描中排除 URL,通過(guò)右鍵單擊并選擇從掃描中排除，“應(yīng)用程序樹(shù)”中的任何 URL 或節(jié)點(diǎn)都可從未來(lái)掃描中排除。（要恢復(fù) U

3、RL 或節(jié)點(diǎn)，只需再次右鍵單擊并選擇包括在掃描中）。 URL 或節(jié)點(diǎn)從掃描中排除后，它在“應(yīng)用程序樹(shù)”中的圖標(biāo)上會(huì)出現(xiàn)一個(gè) X,以此方法排除 URL 后，“排除”項(xiàng)將添加到排除或包括路徑列表,安全問(wèn)題：結(jié)果列表,結(jié)果列表”顯示與“應(yīng)用程序樹(shù)”中所選節(jié)點(diǎn)相關(guān)的問(wèn)題。如果選擇“我的應(yīng)用程序”節(jié)點(diǎn)，那么“結(jié)果列表”將顯示在 Web 應(yīng)用程序中找到的所有問(wèn)題。 問(wèn)題按照“類型”分組。每個(gè)“類型”下列出所有 URL。每個(gè) URL 下列出所有問(wèn)題。（問(wèn)題的單個(gè)變體不顯示在“結(jié)果列表”中，但是可以從“詳細(xì)信息”窗格查看。） 樹(shù)中每個(gè)節(jié)點(diǎn)都有一個(gè)嚴(yán)重性圖標(biāo)，指示問(wèn)題嚴(yán)重性；還有一個(gè)計(jì)數(shù)器，指示找到的該類型問(wèn)題

4、數(shù),可以更改問(wèn)題排序的方式，也可以控制它們的嚴(yán)重性值。 可以將當(dāng)前不想處理的問(wèn)題指定為“干擾”，將其從結(jié)果顯示中一并除去，或者顯示為帶有刪除線,問(wèn)題狀態(tài)：打開(kāi)或干擾,如果 AppScan 發(fā)現(xiàn)的特定問(wèn)題與應(yīng)用程序無(wú)關(guān)（意思是對(duì)于你的應(yīng)用程序，該問(wèn)題實(shí)際上是“錯(cuò)誤肯定”結(jié)果），例如，某個(gè)問(wèn)題僅存在于開(kāi)發(fā)環(huán)境中，但不存在于部署環(huán)境中，那么你可以確定將其分類為“干擾”。 標(biāo)記為干擾的問(wèn)題有兩種顯示選項(xiàng)：包含在“結(jié)果”列表中但為帶有刪除線的灰色文本、根本未包含在結(jié)果列表中。 要在兩個(gè)顯示選項(xiàng)之間切換，單擊查看 顯示標(biāo)記為“干擾”的問(wèn)題。 結(jié)果 當(dāng)選中標(biāo)記顯示在菜單項(xiàng)旁時(shí)，標(biāo)記為“干擾”的問(wèn)題將包含到“

5、結(jié)果”列表中，但為帶有刪除線的灰色文本,重新發(fā)送測(cè)試,不運(yùn)行完整的“全面掃描”或“測(cè)試”階段也可以重新發(fā)送測(cè)試。例如，如果測(cè)試結(jié)果似乎與先前的掃描結(jié)果不一致，那么您可以重新發(fā)送該測(cè)試。 在結(jié)果列表上，右鍵單擊節(jié)點(diǎn)。 在出現(xiàn)的菜單上，單擊重新測(cè)試。 AppScan發(fā)送包含在所選定節(jié)點(diǎn)中的所有測(cè)試請(qǐng)求，此時(shí)會(huì)將新的結(jié)果添加到結(jié)果列表,安全問(wèn)題：詳細(xì)信息窗格,詳細(xì)信息窗格顯示所選測(cè)試的相關(guān)信息，及其所有在結(jié)果列表中所選的變體。 詳細(xì)信息窗格含有四個(gè)選項(xiàng)卡（單擊選項(xiàng)卡可將其內(nèi)容置于前端）： “問(wèn)題信息”選項(xiàng)卡 “咨詢”選項(xiàng)卡 “修訂建議”選項(xiàng)卡 請(qǐng)求/響應(yīng)選項(xiàng)卡,問(wèn)題信息”選項(xiàng)卡,在掃描期間，當(dāng)發(fā)現(xiàn)問(wèn)

6、題并將其添加到樹(shù)中時(shí)，“問(wèn)題信息”選項(xiàng)卡會(huì)提供在其他“詳細(xì)信息”窗格選項(xiàng)卡上可用的信息摘要。但是，其主要目的在于顯示由結(jié)果專家添加的其他信息。此信息包括針對(duì)問(wèn)題的 CVSS 度量值評(píng)分和相關(guān)屏幕快照，這些可以與結(jié)果一起保存并包含在 Word 報(bào)告中,如果在掃描后未運(yùn)行結(jié)果專家，“問(wèn)題信息”選項(xiàng)卡將顯示其他三個(gè)選項(xiàng)卡上的信息摘要，但是不含附加信息。不過(guò)，你可以隨時(shí)更新選項(xiàng)卡： 要更新所發(fā)現(xiàn)的所有問(wèn)題的“問(wèn)題信息”選項(xiàng)卡，請(qǐng)依次單擊工具 運(yùn)行掃描專家。 要更新單個(gè)問(wèn)題的“問(wèn)題信息”選項(xiàng)卡，請(qǐng)打開(kāi)該問(wèn)題的請(qǐng)求/響應(yīng)選項(xiàng)卡，然后選擇創(chuàng)建問(wèn)題信息,問(wèn)題信息”內(nèi)容,標(biāo)題： 問(wèn)題標(biāo)題，包括 URL、實(shí)體和安

7、全風(fēng)險(xiǎn)。 CVSS 度量值評(píng)分 ：三個(gè) CVSS 度量值組的圖形說(shuō)明：基本、臨時(shí)和環(huán)境。 提示（黃色框）： 此信息指的是內(nèi)容區(qū)域（下方）并說(shuō)明在此處出現(xiàn)的圖像或 HTML 中要注意的內(nèi)容。 內(nèi)容（屏幕快照或 HTML 代碼）： 根據(jù)問(wèn)題，此區(qū)域可能包括一個(gè)屏幕快照、兩個(gè)供比較的屏幕快照、一個(gè)含模擬彈出窗口的屏幕快照或 HTML 代碼。（此內(nèi)容還在選項(xiàng)卡旁通過(guò)縮略圖表示。）如果是 HTML，你可以通過(guò)單擊內(nèi)容區(qū)域右上角的圖標(biāo)，將文本換行切換打開(kāi)和關(guān)閉。 推理（藍(lán)色框）： 說(shuō)明 AppScan 已執(zhí)行的操作及其將此視為問(wèn)題的原因。 技術(shù)摘要（灰色框）： AppScan 為測(cè)試此問(wèn)題已執(zhí)行的操作及其

8、如何驗(yàn)證響應(yīng)的技術(shù)詳細(xì)信息,咨詢”選項(xiàng)卡,咨詢”選項(xiàng)卡上的信息會(huì)提供有關(guān)所選問(wèn)題的技術(shù)詳細(xì)信息，以及更多信息的引用鏈接,咨詢”選項(xiàng)卡內(nèi)容,咨詢選項(xiàng)卡可能會(huì)包含下列任一部分： 問(wèn)題名稱 出現(xiàn)在結(jié)果列表中。 測(cè)試描述 測(cè)試的類型。如果此描述沒(méi)有顯示侵入式，那么測(cè)試為非侵入式；它還會(huì)顯示測(cè)試是應(yīng)用程序級(jí)別還是基礎(chǔ)結(jié)構(gòu)級(jí)別。 安全風(fēng)險(xiǎn) 作為應(yīng)用程序安全風(fēng)險(xiǎn)的問(wèn)題的說(shuō)明。 培訓(xùn)模塊 解釋并說(shuō)明問(wèn)題的 Flash 演示。 可能原因 暗示問(wèn)題在應(yīng)用程序中的成因。 技術(shù)描述 問(wèn)題的特定技術(shù)性描述。 受影響產(chǎn)品 可能會(huì)受到問(wèn)題影響的第三方產(chǎn)品。 引用和相關(guān)鏈接 指向更多信息的鏈接。 注：選項(xiàng)對(duì)話框（工具 選項(xiàng)）

9、的首選項(xiàng)選項(xiàng)卡會(huì)提供對(duì)于部分咨詢，會(huì)提供簡(jiǎn)短的培訓(xùn)視頻，可以將其嵌入在“咨詢”選項(xiàng)卡中，以供查看咨詢時(shí)進(jìn)行查看。如果需要減小文件大小，請(qǐng)取消選擇此項(xiàng),修訂建議”選項(xiàng)卡,修訂建議”選項(xiàng)卡上的信息是指為保障 Web 應(yīng)用程序不會(huì)出現(xiàn)所選的特定問(wèn)題而應(yīng)完成的具體任務(wù)。修訂建議選項(xiàng)卡會(huì)顯示修訂所選問(wèn)題所對(duì)應(yīng)的已知建議。這些解決方案可能是非常復(fù)雜的逐步指示信息,請(qǐng)求/響應(yīng)選項(xiàng)卡,請(qǐng)求/響應(yīng)：選項(xiàng)卡提供了關(guān)于測(cè)試及其特定變體的信息，這些信息被發(fā)送到你的 Web 應(yīng)用程序，以發(fā)現(xiàn)應(yīng)用程序的弱點(diǎn)。一個(gè)測(cè)試可能有多個(gè)變體。 變體與 AppScan 發(fā)送到 Web 應(yīng)用程序服務(wù)器的原始測(cè)試請(qǐng)求稍有不同。（AppS

10、can 首先發(fā)送一個(gè)合法并遵循應(yīng)用程序業(yè)務(wù)邏輯的請(qǐng)求。然后會(huì)再發(fā)送相同請(qǐng)求，但是經(jīng)過(guò)修改以發(fā)現(xiàn)應(yīng)用程序如何處理非法或錯(cuò)誤的請(qǐng)求。每個(gè)測(cè)試請(qǐng)求可能有多個(gè)變體；變體的數(shù)量需要足夠覆蓋擴(kuò)展 AppScan 數(shù)據(jù)庫(kù)中的所有安全規(guī)則。） 例如，發(fā)送一個(gè)測(cè)試以確保你已對(duì)特定參數(shù)實(shí)施了用戶輸入規(guī)則。一個(gè)變體確保撇號(hào)是無(wú)效輸入；另一個(gè)變體確保不允許使用引號(hào)。 變體本身以紅色文本顯示，驗(yàn)證（表示安全問(wèn)題存在的響應(yīng)部分）以黃色突出顯示。 除了大量的解釋信息，請(qǐng)求/響應(yīng)選項(xiàng)卡還提供高級(jí)功能，以理解并使用掃描結(jié)果,請(qǐng)求/響應(yīng)選項(xiàng)卡在頂部有其自己的工具欄，在右側(cè)還有兩個(gè)選項(xiàng)卡（可通過(guò)切換選項(xiàng)卡右上角的屬性按鈕來(lái)顯示/隱

11、藏。） 工具欄和選項(xiàng)卡如下所示，并在下表中進(jìn)行概括,變體詳細(xì)信息”選項(xiàng)卡,可提供測(cè)試的標(biāo)識(shí)、測(cè)試變體與原始請(qǐng)求之間的差異，以及 AppScan 認(rèn)為該結(jié)果表示存在安全問(wèn)題的原因。 描述：參數(shù)、cookie 或方法的值已更改為不同于原始請(qǐng)求所使用的值。 可在選項(xiàng)卡底部的注釋區(qū)域輸入關(guān)于當(dāng)前變體的注釋，該注釋將和“掃描”一同保存并包括在報(bào)告中,原始請(qǐng)求/響應(yīng) 要查看 AppScan 在“探索”階段發(fā)送到你的 Web 應(yīng)用程序的原始 HTTP 請(qǐng)求，以及你的服務(wù)器發(fā)回的響應(yīng)，請(qǐng)單擊原始。 查看變體 每個(gè)測(cè)試可以擁有多個(gè)相關(guān)變體；每個(gè)變體會(huì)稍微更改請(qǐng)求，以針對(duì)眾多的攻擊技術(shù)來(lái)檢查應(yīng)用程序安全性。 單擊

12、測(cè)試。 單擊左右方向按鈕來(lái)查看變體請(qǐng)求。 對(duì)于發(fā)送的每個(gè)變體測(cè)試，請(qǐng)求已修改的部分都已用紅色突出顯示,手動(dòng)測(cè)試,Manual Test 功能允許你發(fā)送自己的測(cè)試，并將它們保存為安全問(wèn)題，并可包含在你的報(bào)告中。 只有在 Rational AppScan 已生成當(dāng)前掃描的測(cè)試后，您才可以創(chuàng)建 Manual Test。僅為當(dāng)前掃描保存 Manual Test,可以讓 手動(dòng)測(cè)試基于現(xiàn)有測(cè)試，或您可以從頭開(kāi)始創(chuàng)建新的測(cè)試。 要基于現(xiàn)有變體創(chuàng)建手動(dòng)測(cè)試，請(qǐng)執(zhí)行以下操作： 在結(jié)果列表上，單擊測(cè)試變體，或 在結(jié)果列表上，單擊測(cè)試，然后在詳細(xì)信息窗格中使用工具欄瀏覽至必需的變體。 打開(kāi)手動(dòng)測(cè)試對(duì)話框： 在工具菜單上，單擊手動(dòng)測(cè)試，或 右鍵單擊在應(yīng)用程序樹(shù)或結(jié)果列表中選定的變體，然后從彈出窗口中手動(dòng)測(cè)試，或 單擊詳細(xì)信息窗格中的手動(dòng)測(cè)試按鈕，以獲取選定的變體。 此時(shí)會(huì)顯示手動(dòng)測(cè)試對(duì)話框，將顯示已選定的測(cè)試變體的屬性,測(cè)試策略 配置,在主機(jī)名/IP 地址字段中，輸入測(cè)試將要發(fā)送到的服務(wù)器。 在端口字段中，輸入 AppScan 用來(lái)連接到服務(wù)器的端口。 缺省端口是 80；如果選擇 SSL，那么缺省端口為 443。 如果需要，您可以編輯請(qǐng)求本身。 在選項(xiàng)列表中，單擊您想打開(kāi)的選項(xiàng),單擊發(fā)送。 此時(shí)會(huì)發(fā)送請(qǐng)求，響應(yīng)會(huì)顯示在響應(yīng)文本區(qū)域內(nèi)（下部窗格）。 要查看嵌入式瀏覽