AppScan使用手冊(cè)

1、本人英語能力有限，如有錯(cuò)誤請(qǐng)見諒。譯者這個(gè)向?qū)茿ppScan用戶向?qū)謨?cè)和AppScan在線幫助的補(bǔ)充（fairyox）。主要目的是為這個(gè)產(chǎn)品做介紹，如果需要更多的資料和詳細(xì)的說明書請(qǐng)參閱用戶手冊(cè)和在線幫助1安裝1.1 AppScan安裝將AppScan安裝保存在計(jì)算機(jī)中，雙擊它，然后根據(jù)提示操作。1.2 注冊(cè)文件安裝AppScan安裝中包括一個(gè)允許掃描指定站點(diǎn)的注冊(cè)文件（見章節(jié)1.4）,但是不能掃描其他站點(diǎn)。掃描其他站點(diǎn)需要得到舊M授予的合法注冊(cè)文件。這樣就可以掃描其他站點(diǎn)并讀取和保存掃描模版，否則不能運(yùn)行其他站點(diǎn)的掃描。安裝掃描文件：1 .打開AppScan2 .在幫助菜單選擇Licen

2、se3 .如果已經(jīng)有注冊(cè)文件：點(diǎn)LoadLicenseFile,找到注冊(cè)文件，點(diǎn)Open?；蛘咴诰W(wǎng)上獲得注冊(cè)文件：確認(rèn)連接好Internet網(wǎng)，點(diǎn)ObtainLicenseOnline,然后根據(jù)提示操作4 .點(diǎn)ok關(guān)閉注冊(cè)對(duì)話框。1.3 升級(jí)IBM每天升級(jí)AppScan的應(yīng)用弱點(diǎn)數(shù)據(jù)庫。每次AppScan會(huì)自從從舊M搜索、安裝升級(jí)補(bǔ)丁。用戶也可以隨時(shí)手動(dòng)升級(jí)：打開AppScan,點(diǎn)擊*|升級(jí),根據(jù)提示操作。1.4 AppScan的試用版如果您在使用AppScan的試用版，注冊(cè)文件只允許您對(duì)舊MRationalAppScan定制的測試站點(diǎn)進(jìn)行測試：AppScan下載：測試站點(diǎn):用戶名：密碼：js

3、mithdemo12342概述2.1主界面)etallPan*AppScan主界面包括一個(gè)菜單欄、工具欄和視圖選擇，還有三個(gè)數(shù)據(jù)窗口：應(yīng)用樹、結(jié)果列表和細(xì)節(jié)。下圖是主界面在進(jìn)行數(shù)據(jù)掃描（掃描前三個(gè)數(shù)據(jù)窗口和統(tǒng)計(jì)圖是空白的）。ViewSelector視圖選擇選擇三個(gè)按鈕中的一個(gè)來選擇三個(gè)窗口數(shù)據(jù)顯示的類型。ApplicationTree應(yīng)用樹AppScan收集掃描結(jié)果時(shí)會(huì)把他們顯示在應(yīng)用樹中；在掃描結(jié)束時(shí)應(yīng)用樹顯示所有AppScan在應(yīng)用中找到的文件夾、URL和文件。ResultList結(jié)果列表顯示應(yīng)用樹中被選節(jié)點(diǎn)有關(guān)的結(jié)果。DetailPane細(xì)節(jié)顯示結(jié)果列表中被選項(xiàng)的詳細(xì)信息，在三個(gè)頁面分別

4、顯示報(bào)告、建議和請(qǐng)求/響應(yīng)。Dashboard統(tǒng)計(jì)圖用連續(xù)視圖的形式顯示當(dāng)前結(jié)果。2.2 站點(diǎn)掃描的基本原理AppScan掃描由兩個(gè)階段組成：探測和測試。探測階段：AppScan用模擬人為點(diǎn)擊鏈界和填寫表格的方式探測站點(diǎn)（應(yīng)用或者Web服務(wù)）。它分析響應(yīng)，查找潛在弱點(diǎn)的跡象并利用他們創(chuàng)建測試請(qǐng)求測試階段：AppScan在探索期間發(fā)送上千個(gè)預(yù)定的測試請(qǐng)求。記錄并分析應(yīng)用的響應(yīng)，辨別安全問題并排列他們的安全級(jí)別2.3 應(yīng)用VSWeb服務(wù)AppScan能夠掃描Web應(yīng)用和Web服務(wù)。Web應(yīng)用：在應(yīng)用的情況下，它會(huì)在開始的URL和注冊(cè)認(rèn)證方面進(jìn)行充分的安全掃描以保證能夠測試站點(diǎn)。如果有必要也可以手動(dòng)

5、運(yùn)行站點(diǎn)，以擴(kuò)大安全掃描到只有用戶手動(dòng)才能涉及到的范圍。Web服務(wù)：在Web服務(wù)的情況下，舊M特殊工具WebServicesExplorer”創(chuàng)建一個(gè)簡單的界面顯示可連接的服務(wù)和輸入?yún)?shù)及結(jié)果。過程是AppScan錄制和為服務(wù)創(chuàng)建測試。2.4 典型流程1 .選擇一個(gè)掃描模板。2 .打開配置向?qū)Р⑦x擇Web應(yīng)用掃描和Web服務(wù)掃描中的一種。3 .用向?qū)?chuàng)建掃描：為應(yīng)用掃描：a.填入開始的URL。b.（推薦）手動(dòng)執(zhí)行登陸指南。c.（可選）檢查測試策略。為Web服務(wù)掃描：a.填入WSDL文件位置。b.（可選）檢查測試策略。c.在AppScan錄制用戶輸入和回復(fù)時(shí)，用自動(dòng)打開的Web服務(wù)探測器借口發(fā)送

6、請(qǐng)求到服務(wù)端。4 .（可選）掃描專家a.打開掃描專家來檢查用戶為應(yīng)用掃描配置的效果。b.檢查提示配置改變并選擇適用的。注意：你也可以配置掃描專家執(zhí)行分析，然后在開始掃描時(shí)適用一些它的一些建議。5 .開始自動(dòng)掃描。6 .檢查結(jié)果并（必需）：為沒有發(fā)現(xiàn)的鏈接額外執(zhí)行手工的掃描打印報(bào)告檢查糾正工作3掃描配置向?qū)eb服務(wù)掃描配置用配置向?qū)е笇?dǎo)涉及到應(yīng)用掃描配置的質(zhì)量。為高級(jí)配置方式和的詳細(xì)資料有關(guān)的AppScan用戶指導(dǎo)或在線幫助。配置掃描：1 .開始AppScan出現(xiàn)的歡迎屏幕2 .點(diǎn)擊創(chuàng)建新掃描(CreateNewScan)打開的新掃描對(duì)話框。3 .在預(yù)先確定的模板區(qū)域內(nèi)，點(diǎn)Default”來使

7、用默認(rèn)模板。(如果使用AppScan掃描一些有規(guī)定模板的站點(diǎn)，請(qǐng)選擇那個(gè)模板：Demo.Testfire,Fvoundstone或者WebGoat。)掃描配置向?qū)g迎。注意：如果AppScan已經(jīng)打開，可以通過點(diǎn)擊New”啟動(dòng)向?qū)?，然后點(diǎn)擊OK”。4 .選才WWeb應(yīng)用掃描WebApplicationScan"然后點(diǎn)Next”執(zhí)行三個(gè)步驟中的第一個(gè)。5 .在起始URL框中填入應(yīng)用的URL。注意：如果需要添加另外的服務(wù)器或域點(diǎn)擊Advanced”按鈕。6 .點(diǎn)擊Next”進(jìn)行向?qū)У牡诙健? .在單選按鈕中選擇錄制注冊(cè)RecordedLogin”,然后點(diǎn)擊New”。顯示出一個(gè)描述步驟的

8、信息。8 .點(diǎn)擊OK”。在交點(diǎn)離開錄制按鈕的同時(shí)瀏覽器打開。9 .瀏覽器打開到注冊(cè)頁面，錄制一段正規(guī)的注冊(cè)流程，然后關(guān)閉瀏覽器。10 .在會(huì)話信息對(duì)話框中，檢查注冊(cè)流程，然后點(diǎn)擊OK”。11 .點(diǎn)擊Next”執(zhí)行向?qū)е械牡谌?。在這一步中需要檢查掃描運(yùn)用的測試策略（比如用的哪一種掃描類別）。注意：系統(tǒng)默認(rèn)所有非侵入性測試將被執(zhí)行。注意：使用Advanced”按鈕可以控制其他的測試選項(xiàng)，包括特殊增加（對(duì)沒有足夠權(quán)限的用戶容易涉及到的保密資源范圍進(jìn)行測試）和多項(xiàng)掃描。12 .在檢查框默認(rèn)選擇InSessionDetection”,測試信息中響應(yīng)是ih-session”的會(huì)突出顯示。在掃描過程中，AppScan發(fā)送心跳信息請(qǐng)求，檢查這個(gè)測試的響應(yīng)來確定它是否登陸（有必要的話重新登陸）。檢查測試突出是否是正式會(huì)話的真實(shí)證據(jù)。13 .點(diǎn)擊Next”。14 .選擇適當(dāng)?shù)膯芜x按鈕開始自動(dòng)掃描（開始全面自動(dòng)掃描），和手動(dòng)檢查同時(shí)或延后（只有在點(diǎn)擊工具欄上開始按鈕的圖表后才開始）。15 .（可選）當(dāng)用戶結(jié)束向?qū)r(shí)默認(rèn)選擇掃描專家檢查欄以便啟動(dòng)掃描專家。用戶也可以清除此項(xiàng)進(jìn)入掃描步驟。16 .點(diǎn)擊Finish”關(guān)閉向?qū)А?掃描專家當(dāng)完整的運(yùn)行過掃描向?qū)е?，用戶可以使用掃?/p>