appscan使用文檔

1、1、 環(huán)境搭建1. 軟件下載官網(wǎng)下載地址：破解版下載地址： 密碼：u7z32. 軟件安裝直接運(yùn)行安裝包，按照提示安裝即可3. 軟件破解將破解補(bǔ)丁替換“.IBMAppScan Standard”安裝目錄下同名文件2、 測(cè)試流程以下內(nèi)容以appscan9.0為例1. 啟動(dòng)appscan點(diǎn)擊運(yùn)行appscan.exe即可2. 創(chuàng)建掃描1) 在歡迎頁(yè)面選擇-創(chuàng)建新的掃描，打開(kāi)新建掃描面板，如下圖：2) 9.0沒(méi)有綜合掃描模板，一般選擇常規(guī)掃描模板，選擇模板后打開(kāi)掃描配置面板，如下圖：3) 在掃描向?qū)е羞x擇掃描類型，一般選擇web應(yīng)用程序掃描；若要選擇web service掃描，需安裝GSC；除了按照提

2、示一步步操作，也可以點(diǎn)擊右下角完全掃描配置進(jìn)行掃描配置（具體可參照二.3）；選擇完掃描類型后，點(diǎn)擊下一步打開(kāi)配置URL和服務(wù)器面板，如下圖：4) 起始URL中輸入要掃描的站點(diǎn)，可以是域名格式，也可以是IP格式；如果勾選了“僅掃描此目錄中或目錄下的鏈接”，則會(huì)只掃描起始URL目錄或者子目錄中的鏈接；區(qū)分大小寫(xiě)的路徑：如果選中，則大小寫(xiě)不同的鏈接會(huì)被視為兩個(gè)頁(yè)面，如A.apsx和a.spsx；建議linux或UNIX服務(wù)器時(shí)勾選，windows服務(wù)器時(shí)不勾選；其他服務(wù)器和域：如果應(yīng)用程序包含的服務(wù)器或域不同于“起始 URL”包含的服務(wù)器或域，則應(yīng)該添加到此處，如和二級(jí)域不同；我需要配置其他連接設(shè)置

3、：缺省情況下，AppScan 會(huì)使用 Internet Explorer 代理設(shè)置，默認(rèn)不勾選，若勾選，點(diǎn)擊下一步會(huì)打開(kāi)配置代理頁(yè)面；配置完成后，點(diǎn)擊下一步打開(kāi)登錄管理面板，如下圖：5) 登錄管理提供4種選項(xiàng)：a) 記錄：推薦使用，選擇此項(xiàng)，appscan將使用所記錄的登錄過(guò)程，從而像實(shí)際用戶一樣填寫(xiě)字段。單擊記錄按鈕，打開(kāi)自帶瀏覽器記錄登錄過(guò)程，登錄完成后關(guān)閉瀏覽器，會(huì)自動(dòng)將登錄過(guò)程列出。b) 提示：如果每次登錄都需要人機(jī)交互，請(qǐng)選擇該選項(xiàng)。您必須仍然記錄登錄過(guò)程。雖然 AppScan 將不會(huì)使用您記錄的過(guò)程來(lái)嘗試登錄，但是它需要將該過(guò)程作為參考來(lái)了解何時(shí)已被注銷。c) 自動(dòng)登錄：如果 Ap

4、pScan 可僅使用名稱和密碼來(lái)登錄，而不需要特定的過(guò)程，請(qǐng)選擇該選項(xiàng)，然后輸入“用戶名”和“密碼”。d) 不登錄：僅當(dāng)應(yīng)用程序不需要登錄時(shí)，或因?yàn)槠渌?，您不?AppScan 登錄時(shí)，才選擇該選項(xiàng)。若賬號(hào)密碼錯(cuò)誤，會(huì)提示：回話頁(yè)面未識(shí)別，需修改登錄管理方式或登錄賬號(hào)密碼如果選中我想要配置會(huì)話中檢測(cè)選項(xiàng)復(fù)選框，那么在單擊下一步時(shí)，將會(huì)打開(kāi)一個(gè)附加的向?qū)Р襟E：登錄管理：“其他”設(shè)置。默認(rèn)不選中。登錄管理配置完成后，點(diǎn)擊下一步，打開(kāi)測(cè)試策略面板，如下圖：6) Appscan預(yù)定義的測(cè)試策略可滿足常見(jiàn)需求的有用策略的范圍：策略名稱描述缺省值包含所有測(cè)試，但侵入式和端口偵聽(tīng)器測(cè)試除外。僅應(yīng)用程序包

5、含所有應(yīng)用程序級(jí)別的測(cè)試，但侵入式和端口偵聽(tīng)器測(cè)試除外。僅基礎(chǔ)結(jié)構(gòu)包含所有基礎(chǔ)結(jié)構(gòu)級(jí)別的測(cè)試，但侵入式和端口偵聽(tīng)器測(cè)試除外。僅第三方包含所有第三方級(jí)別測(cè)試，但侵入式和端口偵聽(tīng)器測(cè)試除外。侵入式包含所有侵入式測(cè)試（可能影響服務(wù)器穩(wěn)定性的測(cè)試）。完成包含所有 AppScan 測(cè)試，但端口偵聽(tīng)器測(cè)試除外。Web 服務(wù)包含所有 SOAP 相關(guān)測(cè)試，但侵入式和端口偵聽(tīng)器測(cè)試除外。關(guān)鍵的少數(shù)包含一些成功可能性極高的測(cè)試精選。 在時(shí)間有限時(shí)對(duì)站點(diǎn)評(píng)估可能有用。開(kāi)發(fā)者精要包含一些成功可能性極高的應(yīng)用程序測(cè)試的精選。 在時(shí)間有限時(shí)對(duì)站點(diǎn)評(píng)估可能有用。a. 發(fā)送登錄和注銷頁(yè)面上的測(cè)試：缺省情況下，AppScan

6、將測(cè)試登錄和注銷頁(yè)面以及應(yīng)用程序的其余部分。 您應(yīng)該保持該缺省配置，除非： 您的應(yīng)用程序具有安全保護(hù)，可阻止在這些頁(yè)面上提供非法輸入的用戶，或如果測(cè)試這些頁(yè)面，您的應(yīng)用程序流程會(huì)改變?nèi)绻淮_定您的應(yīng)用程序會(huì)如何響應(yīng)這些測(cè)試，那么請(qǐng)保持選定該選項(xiàng)。b. 在測(cè)試登錄頁(yè)面時(shí)不發(fā)送會(huì)話標(biāo)識(shí)：（該復(fù)選框僅當(dāng)選中了先前復(fù)選框時(shí)才會(huì)處于活動(dòng)狀態(tài)并缺省選中。）建議將此復(fù)選框保留為選中狀態(tài)，因?yàn)闇y(cè)試登錄頁(yè)面時(shí)會(huì)話標(biāo)識(shí)可能會(huì)導(dǎo)致測(cè)試不成功。僅當(dāng)您確定需要有效會(huì)話令牌來(lái)測(cè)試登錄頁(yè)面時(shí)，才應(yīng)清除該復(fù)選框。 如果不確定您的應(yīng)用程序會(huì)如何響應(yīng)，那么請(qǐng)保持選定該選項(xiàng)。完成測(cè)試策略配置后，點(diǎn)擊下一步將打開(kāi)完成配置面板，如下圖

7、：7) 完成配置面板可供選擇啟動(dòng)掃描的方式如下：a. 啟動(dòng)全面自動(dòng)掃描：?jiǎn)?dòng)應(yīng)用程序的全面掃描（“探索”后將立即進(jìn)行“測(cè)試”）。b. 使用僅自動(dòng)“探索”來(lái)啟動(dòng)：探索應(yīng)用程序，但不繼續(xù)“測(cè)試”階段。（可以稍后運(yùn)行“測(cè)試”階段）。c. 使用手動(dòng)探索來(lái)啟動(dòng)：瀏覽器將打開(kāi)，并且您可以通過(guò)單擊鏈接并填寫(xiě)字段來(lái)手動(dòng)探索站點(diǎn)。AppScan 將記錄結(jié)果，以便在“測(cè)試”階段使用。d. 我將稍后啟動(dòng)掃描：關(guān)閉向?qū)В粏?dòng)掃描。下次啟動(dòng)掃描時(shí)，會(huì)使用該模板。e. 完成掃描配置后啟動(dòng)掃描專家：如果想要在啟動(dòng)主掃描之前讓掃描專家來(lái)評(píng)估配置，請(qǐng)選中此復(fù)選框。掃描專家會(huì)登錄應(yīng)用程序并執(zhí)行簡(jiǎn)短、初步的掃描，以評(píng)估已配置的設(shè)

8、置。如果需要，會(huì)建議更改配置。8) 點(diǎn)擊完成按鈕，appscan會(huì)按照配置內(nèi)容開(kāi)始掃描應(yīng)用程序。3. 完全掃描配置1) URL和服務(wù)器：與創(chuàng)建掃描時(shí)一致2) 登錄管理：與創(chuàng)建掃描時(shí)一致3) 環(huán)境定義：包括操作系統(tǒng)、web服務(wù)器、應(yīng)用程序服務(wù)器、數(shù)據(jù)庫(kù)類型、第三方組件、站點(diǎn)位置、站點(diǎn)類型、部署方法、潛在間接損害、目標(biāo)分布、可用性需求、機(jī)密性需求、完整性需求。環(huán)境定義并不重要，選擇以后，可以使掃描避免無(wú)效測(cè)試，提高效率4) 排除路徑和文件：通過(guò)配置，掃描程序時(shí)會(huì)忽略應(yīng)用程序中的某些路徑或文件的特定類型，一般默認(rèn)即可。5) 探索選項(xiàng)：包括掃描限制、javascript和flash、探索方法、編碼、用

9、戶代理程序；掃描限制：確定appscan探索應(yīng)用程序的深度，包括冗余路徑限制、單擊深度限制、總頁(yè)面限制，勾選后超過(guò)數(shù)目則不進(jìn)行掃描；Javascript：確定appscan探索還是忽略javascript腳本，包括解析JavaScript代碼以發(fā)現(xiàn)URL、執(zhí)行JavaScript來(lái)發(fā)現(xiàn)URL和動(dòng)態(tài)內(nèi)容、重放登錄時(shí)執(zhí)行JavaScript。前兩個(gè)勾選后appscan會(huì)分析掃描javascript腳本；如果應(yīng)用程序的登錄頁(yè)面使用JavaScript代碼，那么必須選中第三個(gè)才能使AppScan可以在掃描期間進(jìn)行登錄。Flash：確定appscan探索還是忽略flash腳本，包括解析Flash以發(fā)現(xiàn)U

10、RL、執(zhí)行Flash文件以發(fā)現(xiàn)潛在漏洞。這兩個(gè)都勾選后appscan會(huì)分析掃描javascript腳本。探索方法：確定appscan探索時(shí)是以寬度優(yōu)先還是深度優(yōu)先：寬度優(yōu)先是指逐頁(yè)探索，在繼續(xù)下一頁(yè)面前探索一個(gè)頁(yè)面上的所有鏈接，推薦選擇這個(gè)。深度優(yōu)先是指按照鏈接逐一探索，并在它找到新鏈接時(shí)對(duì)每個(gè)新鏈接進(jìn)行探索。編碼：AppScan 通常會(huì)自動(dòng)檢測(cè)應(yīng)用程序的編碼方法，因此缺省情況下會(huì)選中自動(dòng)檢測(cè)。如果掃描結(jié)果中的響應(yīng)內(nèi)容似乎失真，那么這可能意味著未正確識(shí)別編碼方法。要解決此問(wèn)題，請(qǐng)從下拉列表中選擇正確的編碼方法。用戶代理程序：AppScan 通常會(huì)自動(dòng)檢測(cè)用戶代理程序，但是，如果您使用的瀏覽器不

11、是內(nèi)置瀏覽器，且不記錄登錄過(guò)程、多步驟操作或手動(dòng)探索，AppScan 將無(wú)法進(jìn)行自動(dòng)檢測(cè)，因此您必須手動(dòng)選擇用戶代理程序。6) 參數(shù)和cookie：此視圖用于管理三項(xiàng)主要功能：向特定參數(shù)和cookie指定特殊處理；定義具有AppScan可能無(wú)法自行識(shí)別的特殊格式的參數(shù)和cookie；控制對(duì)參數(shù)和cookie的缺省處理（“冗余調(diào)整”）“參數(shù)和 cookie”選項(xiàng)卡：使您能夠查看、添加、編輯和刪除全局參數(shù)。例如，您的應(yīng)用程序可能具有某些特定的參數(shù)和cookie，而您不希望AppScan在測(cè)試期間操縱它們的值。要確保AppScan沒(méi)有更改這些參數(shù)和cookie，請(qǐng)從測(cè)試中排除。例如，如果某些cook

12、ie或參數(shù)的值被更改，那么您的應(yīng)用程序可能會(huì)鎖定某個(gè)用戶會(huì)話。您應(yīng)該將這些參數(shù)從控制中排除。如果您沒(méi)有將其排除，AppScan可能無(wú)法成功完成掃描，因?yàn)檫@些 cookie會(huì)將AppScan鎖定到應(yīng)用程序之外。在“探索”階段中，AppScan會(huì)自動(dòng)檢測(cè)到可能是會(huì)話標(biāo)識(shí)的cookie和HTML參數(shù)，并將其添加到此選項(xiàng)卡中的列表。您可手動(dòng)添加知道是會(huì)話標(biāo)識(shí)的cookie和參數(shù)。注： 通過(guò)隱藏/顯示模板項(xiàng)按鈕，可以過(guò)濾掉源于掃描模板中的但可能與當(dāng)前掃描無(wú)關(guān)的項(xiàng)。高級(jí)：“定制參數(shù)”選項(xiàng)卡：使您能夠添加、編輯和刪除具有 AppScan 可能無(wú)法正確識(shí)別的定制格式的參數(shù)。冗余調(diào)整缺省值：通過(guò)此鏈接，可以訪問(wèn)

13、和編輯應(yīng)用于所有參數(shù)的缺省冗余調(diào)整（無(wú)論是由 AppScan 發(fā)現(xiàn)還是由用戶定義的）。注：更改單獨(dú)參數(shù)的特定冗余調(diào)整在參數(shù)定義過(guò)程中完成。 更改為缺省值并不追溯性地應(yīng)用到已定義的參數(shù)。 必須對(duì)每個(gè)參數(shù)都手動(dòng)完成該操作。7) 自動(dòng)表單填充：指AppScan填寫(xiě)應(yīng)用程序中的表單所使用的值。其中許多表單都存在缺省值，并且這些值會(huì)自動(dòng)更新以包含在記錄登錄期間輸入的任何值?？梢圆榭?、添加和編輯這些值。8) 錯(cuò)誤頁(yè)面：通過(guò)列表中的字符串、正則表達(dá)式和URL，識(shí)別錯(cuò)誤頁(yè)面。如果將錯(cuò)誤頁(yè)面識(shí)別為正確頁(yè)面，可能會(huì)影響測(cè)試結(jié)果。9) 多步驟操作：用于測(cè)試只能通過(guò)以特定順序單擊鏈接來(lái)訪問(wèn)的站點(diǎn)部分，如購(gòu)物下單。注：

14、 建議將多步驟操作的數(shù)量限制在五個(gè)，其中每個(gè)操作中的步驟數(shù)不超過(guò)25個(gè)，總步驟數(shù)不超過(guò)70個(gè)10) 基于內(nèi)容的結(jié)果：如果AppScan無(wú)法基于URL結(jié)構(gòu)來(lái)定義應(yīng)用程序樹(shù)的邏輯結(jié)構(gòu)，您可以使用此視圖來(lái)執(zhí)行此操作。如果在站點(diǎn)內(nèi)容的構(gòu)造方式下，URL 反映類似文件夾的層次結(jié)構(gòu)，那么掃描結(jié)果會(huì)自動(dòng)反映這一層次結(jié)構(gòu)，從而使其易于瀏覽。如果站點(diǎn)使用“面包屑”或其他“基于內(nèi)容”的導(dǎo)航方法，以便 URL 不會(huì)指示用戶在站點(diǎn)內(nèi)的“位置”，那么建議您“教導(dǎo)”AppScan 站點(diǎn)是如何進(jìn)行“邏輯”構(gòu)造的，以便其可以用能夠輕松理解的格式來(lái)呈現(xiàn)掃描結(jié)果，而不是在一個(gè)或兩個(gè) URL 下列出冗長(zhǎng)的結(jié)果。這并非至關(guān)重要，但是

15、將使您更輕松地瀏覽結(jié)果。11) Glass box：在掃描時(shí)，此代理程序會(huì)監(jiān)視服務(wù)器端的活動(dòng)，收集源代碼信息和其他數(shù)據(jù)。這將使掃描變得更為快速和精確。（具體可參照二.4）12) 通信和代理：配置通信超時(shí)和代理服務(wù)器設(shè)置。13) HTTP認(rèn)證：如果應(yīng)用程序需要，請(qǐng)?zhí)砑臃?wù)器級(jí)別認(rèn)證和客戶機(jī)端證書(shū)。14) 測(cè)試策略：您可以：查看當(dāng)前策略的詳細(xì)信息編輯當(dāng)前策略，以創(chuàng)建您自己的“用戶定義的測(cè)試策略”導(dǎo)入預(yù)定義策略，或先前保存的用戶定義策略15) 測(cè)試選項(xiàng)：允許您配置會(huì)影響掃描長(zhǎng)度和完整性的各種設(shè)置。但是，在大多數(shù)情況下，缺省設(shè)置就已足夠了。16) 特權(quán)升級(jí)：使用不同的用戶特權(quán)運(yùn)行的掃描，比較不同用戶級(jí)

16、別的結(jié)果。17) 惡意軟件：?jiǎn)⒂脨阂廛浖y(cè)試后，AppScan將在掃描期間檢查應(yīng)用程序中是否存在指向惡意外部 Web 站點(diǎn)的鏈接，需要互聯(lián)網(wǎng)連接。18) 掃描專家：通過(guò)設(shè)置，可以決定掃描專家探索的詳盡程度，配置更改是自動(dòng)還是手動(dòng)實(shí)施，以及評(píng)估中會(huì)包含配置的哪些“模塊”。19) 結(jié)果專家：可運(yùn)行一個(gè)或多個(gè)模塊來(lái)處理掃描結(jié)果，并將其他信息顯示在“詳細(xì)信息”窗格的“問(wèn)題信息”選項(xiàng)卡中。20) 高級(jí)配置：更改會(huì)影響特定掃描的高級(jí)注冊(cè)表設(shè)置4. 啟動(dòng)掃描1) 從“掃描配置向?qū)А眴?dòng)掃描啟動(dòng)全面自動(dòng)掃描使用剛在向?qū)е袆?chuàng)建的配置來(lái)啟動(dòng)掃描；使用自動(dòng)“探索”來(lái)啟動(dòng)并自動(dòng)繼續(xù)“測(cè)試”階段。使用僅自動(dòng)“探索”來(lái)啟

17、動(dòng)啟動(dòng)掃描的自動(dòng)“探索”階段，但請(qǐng)勿自動(dòng)繼續(xù)“測(cè)試”階段。使用“手動(dòng)探索”來(lái)啟動(dòng)打開(kāi)瀏覽器以允許手動(dòng)探索應(yīng)用程序（請(qǐng)參閱手動(dòng)探索）。我將稍后啟動(dòng)掃描關(guān)閉向?qū)?，不用掃描（例如，想要先進(jìn)一步編輯掃描配置，然后再啟動(dòng)掃描，或想要稍后啟動(dòng)掃描）。2) 從“掃描”菜單或工具欄啟動(dòng)掃描全面掃描： 運(yùn)行全面掃描。繼續(xù)“探索”應(yīng)用程序，直到不再有未訪問(wèn)的 URL 為止，然后自動(dòng)繼續(xù)“測(cè)試”階段。（如果配置了多階段掃描，請(qǐng)根據(jù)需要完成多個(gè)階段。）僅探索： “探索”應(yīng)用程序，但不繼續(xù)“測(cè)試”階段。在繼續(xù)“測(cè)試階段”之前，該操作允許您先檢查“探索”結(jié)果，如果需要，會(huì)執(zhí)行手動(dòng)探索（請(qǐng)參閱手動(dòng)探索）。僅測(cè)試：（站點(diǎn)已探

18、索時(shí)才是活動(dòng)的）基于現(xiàn)有“探索”結(jié)果來(lái)“測(cè)試”站點(diǎn)。5. 掃描中斷1) 掃描因連接問(wèn)題而停止掃描可能因AppScan和它所掃描的服務(wù)器之間的連接問(wèn)題而停止，或者因AppScan和本地Web代理服務(wù)器之間的連接問(wèn)題而停止。檢測(cè)到連接問(wèn)題后，AppScan等待問(wèn)題修復(fù)時(shí)，將會(huì)開(kāi)始90秒的倒計(jì)時(shí)。如果問(wèn)題在倒計(jì)時(shí)期間修復(fù)，那么“掃描通知面板”將消失，掃描恢復(fù)。如果存在通信問(wèn)題，那么通知面板將顯示消息：正在嘗試連接至： 探索/測(cè)試將在 秒后停止 如果掃描連接至多個(gè)服務(wù)器并且不止一個(gè)服務(wù)器關(guān)閉，那么所顯示的 IP 地址可能是被掃描的服務(wù)器的 IP，也可能是代理的 IP（如果連接問(wèn)題與 Web 代理有關(guān)）

19、，或者是 IP 的列表。數(shù)字 是 90 秒倒計(jì)時(shí)。如果問(wèn)題在倒計(jì)時(shí)達(dá)到零時(shí)仍未修復(fù)，那么掃描將停止。問(wèn)題修復(fù)后，您可以在掃描停止處繼續(xù)掃描（掃描 繼續(xù)）或重新掃描（掃描 重新掃描）。2) 掃描因應(yīng)用程序問(wèn)題而停止包括：a. 掃描因不能自動(dòng)填寫(xiě)所有的輸入表單而導(dǎo)致掃描停止；b. 掃描因遇到缺少 NTLM 認(rèn)證而導(dǎo)致的中斷鏈接，掃描停止。問(wèn)題a解決過(guò)程：u 選擇應(yīng)用程序數(shù)據(jù)視圖。u 選擇需要用戶交互顯示。u 創(chuàng)建這些 URL 的“手動(dòng)探索”（請(qǐng)參閱手動(dòng)探索交互式 URL），然后插入表單填充器值。u 繼續(xù)掃描，最好包含另一個(gè)自動(dòng)探索階段。問(wèn)題b解決過(guò)程：n 選擇應(yīng)用程序數(shù)據(jù)視圖。n 選擇失敗請(qǐng)求顯示

20、。n 在掃描配置對(duì)話框 登錄/注銷中，輸入平臺(tái)認(rèn)證詳細(xì)信息。n 重新運(yùn)行“探索”階段以繼續(xù)掃描。6. 主窗口界面當(dāng)在“視圖選擇器”中選擇不同視圖時(shí)，在“應(yīng)用程序樹(shù)”、“結(jié)果列表”和“詳細(xì)信息窗格”中所顯示的信息會(huì)更改。下表中總結(jié)了屏幕的三個(gè)部分：數(shù)據(jù)視圖顯示來(lái)自“探索”階段的腳本參數(shù)、交互式 URL、已訪問(wèn)的 URL、中斷鏈接、已過(guò)濾的 URL、注釋、JavaScript 和 cookie。應(yīng)用程序樹(shù)：完成應(yīng)用程序樹(shù)。結(jié)果列表：從“結(jié)果列表”頂部的彈出列表中選擇過(guò)濾器，以確定要顯示哪些信息。詳細(xì)信息窗格：腳本參數(shù)、交互式 URL、已訪問(wèn)的 URL、中斷鏈接、已過(guò)濾的 URL、注釋、JavaSc

21、ript 和 cookie 的已過(guò)濾列表。與其他兩個(gè)視圖不同，即使 AppScan 僅完成了“探索”階段，“應(yīng)用程序數(shù)據(jù)”視圖也可用。使用“結(jié)果列表”頂部的彈出列表來(lái)過(guò)濾數(shù)據(jù)。鍵盤(pán)快捷鍵：F2結(jié)果：應(yīng)用程序數(shù)據(jù)問(wèn)題視圖顯示發(fā)現(xiàn)的實(shí)際問(wèn)題，從概述級(jí)別一直到個(gè)別請(qǐng)求/響應(yīng)級(jí)別。這是缺省視圖。應(yīng)用程序樹(shù)：完成應(yīng)用程序樹(shù)。每個(gè)項(xiàng)旁的計(jì)數(shù)器會(huì)顯示為項(xiàng)找到的問(wèn)題數(shù)量。結(jié)果列表：列出應(yīng)用程序樹(shù)中所選定的節(jié)點(diǎn)的問(wèn)題，以及每個(gè)問(wèn)題的嚴(yán)重性。詳細(xì)信息窗格：顯示在“結(jié)果列表”中所選定問(wèn)題的咨詢、修訂建議和請(qǐng)求/響應(yīng)（包括所使用的所有變體）。鍵盤(pán)快捷鍵：F3結(jié)果：安全問(wèn)題任務(wù)視圖提供特定修復(fù)任務(wù)的任務(wù)列表，以修訂掃描

22、所找到的問(wèn)題。應(yīng)用程序樹(shù)：完成應(yīng)用程序樹(shù)。每個(gè)項(xiàng)旁的計(jì)數(shù)器會(huì)顯示該項(xiàng)的修訂建議數(shù)量。結(jié)果列表：列出應(yīng)用程序樹(shù)中所選定的節(jié)點(diǎn)的修訂任務(wù)，以及每項(xiàng)任務(wù)的優(yōu)先級(jí)。詳細(xì)信息窗格：顯示在“結(jié)果列表”中所選定的修復(fù)任務(wù)的詳細(xì)信息，以及該修復(fù)將解決的所有問(wèn)題。鍵盤(pán)快捷鍵：F4結(jié)果：修復(fù)任務(wù)7. 生成報(bào)告點(diǎn)擊菜單欄“工具”-“報(bào)告”，可以打開(kāi)生成報(bào)告面板，如下圖：1) 報(bào)告類型分為5種，如下表：名稱簡(jiǎn)短描述安全性報(bào)告掃描期間找到的安全問(wèn)題的報(bào)告。 安全信息可能非常廣泛，并可根據(jù)您的需要進(jìn)行過(guò)濾。 包括六個(gè)標(biāo)準(zhǔn)模板，但根據(jù)需要，每個(gè)模板都可輕易調(diào)整，以包括或排除信息類別。行業(yè)標(biāo)準(zhǔn)報(bào)告應(yīng)用程序針對(duì)選定的行業(yè)委員會(huì)

23、或您自己的定制標(biāo)準(zhǔn)核對(duì)表的一致性（或非一致性）報(bào)告。合規(guī)性報(bào)告應(yīng)用程序針對(duì)規(guī)范或法律標(biāo)準(zhǔn)的大量選項(xiàng)或您自己的定制“合規(guī)一致性”模板的一致性（或非一致性）報(bào)告。增量分析報(bào)告“增量分析”報(bào)告比較了兩組掃描結(jié)果，并顯示了發(fā)現(xiàn)的 URL 和/或安全問(wèn)題中的差異。基于模板的報(bào)告包含用戶定義的數(shù)據(jù)和用戶定義的文檔格式化的定制報(bào)告（格式為 Microsoft Word .doc）。2) 一般創(chuàng)建的是安全性報(bào)告，選擇好報(bào)告的模板內(nèi)容后，點(diǎn)擊保存報(bào)告即可，報(bào)告格式可以是PDF、HTML、TXT、RTF 或 XML。3、 Glass box安裝使用1. 概述常規(guī)掃描將應(yīng)用程序視為“黑匣”，僅分析其輸出而不“深入探

24、查”該應(yīng)用程序；而 glass box 掃描則在掃描期間使用安裝在應(yīng)用程序服務(wù)器上的代理程序來(lái)檢查代碼本身。因此得名為“glass”box（“明”匣）。glass box 掃描具有以下優(yōu)勢(shì)：1) 在“瀏覽”階段期間，glass box 掃描可以揭示符合以下條件的 HTTP 參數(shù)：影響服務(wù)器端，但在響應(yīng)中找不到，因此僅靠黑匣掃描無(wú)法發(fā)現(xiàn)。（當(dāng)前僅對(duì) Java 實(shí)現(xiàn)了該功能。）2) 在“測(cè)試”階段期間，glass box 掃描可以更精準(zhǔn)地驗(yàn)證特定測(cè)試（如 SQL 盲注）成功與否，從而減少“誤報(bào)”結(jié)果數(shù)。它還能揭示是否存在無(wú)法由黑匣技術(shù)檢測(cè)出的特定安全性問(wèn)題。3) glass box 掃描支持 AppScan 為您顯示實(shí)際源代碼中的脆弱性，從而簡(jiǎn)化報(bào)告和修復(fù)過(guò)程。2. 安裝配置安裝包分為.Net和java兩種類型，以.net為例：1) 打開(kāi) .Program FilesIBMAppScan StandardGlass box；2) 找到 GB_DotNET_Setup.e