Appscan快速使用

1、IBMRationalAppScan快速使用手冊(cè)（適用AppScan-以上版本）一、典型流程和術(shù)語(yǔ)介紹A.新建一個(gè)掃描，并為這個(gè)掃描選擇一個(gè)掃描模板。掃描模板：包含用戶自定義掃描參數(shù)或者是工具默認(rèn)參數(shù)的集合，目的是方面用戶快速配置掃描參數(shù)。B.打開配置向?qū)Р⑦x擇Web應(yīng)用掃描和WebService掃描中的一種。注意：Appscan在安裝了GSC（通用服務(wù)客戶端）組件的環(huán)境下才會(huì)要求選擇Web應(yīng)用或WebService,否則軟件默認(rèn)選擇Web應(yīng)用程序。C.用向?qū)?chuàng)建掃描：為Web應(yīng)用掃描：a.填入開始的URLb.（推薦）手動(dòng)執(zhí)行登陸指南。c.（可選）檢查測(cè)試策略。測(cè)試策略：1.de

2、fault2.Application-only3.infrastructure-only4.invasiveplete6 .theVitalFew7 .WebService默認(rèn)策略（包含除入侵性測(cè)試以外的所有測(cè)試）檢查應(yīng)用程序檢查內(nèi)部結(jié)構(gòu)入侵性檢測(cè)包含所有的測(cè)試手段少數(shù)高漏洞比率檢查Web服務(wù)檢查8.DeveloperEssentials開發(fā)者概要檢查為Web服務(wù)掃描：a.填入WSD戊件位置。b.（可選）檢查測(cè)試策略。c.錄制用戶輸入和回復(fù)時(shí)，用自動(dòng)打開的Web服務(wù)探測(cè)器接口發(fā)送請(qǐng)求到服務(wù)端。D.（可選）掃描專家a.打開掃描專家來(lái)檢查用戶為應(yīng)用掃描配置的效果。b.檢查提示配置改變并選擇適用的。

3、掃描專家：可以根據(jù)用戶配置的URL自動(dòng)探索應(yīng)用程序，手機(jī)信息和網(wǎng)絡(luò)行為，并分析結(jié)果，對(duì)當(dāng)前掃描的配置進(jìn)行審核，給出較合理的配置建議。注意：你也可以配置掃描專家執(zhí)行分析，然后在開始掃描時(shí)適用一些它的一些建議。E.開始自動(dòng)掃描。注意：軟件提供了手動(dòng)探索的功能，手動(dòng)探索使用戶了解手動(dòng)應(yīng)用，在鏈接上點(diǎn)擊和輸入數(shù)據(jù)。F.檢查結(jié)果并糾正（必需）：a.為沒(méi)有發(fā)現(xiàn)的鏈接額外執(zhí)行手工的掃描b.打印報(bào)告c.檢查糾正工作二、執(zhí)行Web應(yīng)用掃描按照配置向?qū)?chuàng)建掃描1 .開始AppScan,出現(xiàn)的歡迎屏幕2 .點(diǎn)擊創(chuàng)建新掃描（CreateNewScan）,打開的新掃描對(duì)話框。3 .選擇掃描模板在預(yù)先確定的模板區(qū)域內(nèi)，點(diǎn)

4、“Default”來(lái)使用默認(rèn)模板。如果使用AppScan掃描一些有規(guī)定模板的站點(diǎn)，請(qǐng)選擇那個(gè)模板：Demo.Testfire,Fvoundstone或者WebGoat）掃描配置向?qū)g迎。注意：如果AppScan已經(jīng)打開，可以通過(guò)點(diǎn)擊"NeW'啟動(dòng)向?qū)?，然后點(diǎn)擊“OK。4 .選擇掃描類型Web應(yīng)用掃描"WebApplicationScan"然后點(diǎn)"Next"執(zhí)行三個(gè)步驟中的第一個(gè)。5 .輸入掃描地址在起始URL框中填入應(yīng)用的URL注意：如果需要添加另外的服務(wù)器或域點(diǎn)擊“Advanced”按鈕。6 .點(diǎn)擊“Next”進(jìn)行向?qū)У牡诙健? .

5、在單選按鈕中選才I錄制注冊(cè)"RecordedLogin,然后點(diǎn)擊“NeW。顯示出一個(gè)描述步驟的信息。8 .點(diǎn)擊“OK'。在交點(diǎn)離開錄制按鈕的同時(shí)瀏覽器打開。9 .瀏覽器打開到注冊(cè)頁(yè)面，錄制一段正規(guī)的注冊(cè)流程，然后關(guān)閉瀏覽器。10 .在會(huì)話信息對(duì)話框中，檢查注冊(cè)流程，然后點(diǎn)擊“OK'。11 .點(diǎn)擊“Next”執(zhí)行向?qū)е械牡谌?。在這一步中需要檢查掃描運(yùn)用的測(cè)試策略（比如用的哪一種掃描類別）。注意：系統(tǒng)默認(rèn)所有非侵入性測(cè)試將被執(zhí)行。注意：使用“Advanced”按鈕可以控制其他的測(cè)試選項(xiàng)，包括特殊增加（對(duì)沒(méi)有足夠權(quán)限的用戶容易涉及到的保密資源范圍進(jìn)行測(cè)試）和多項(xiàng)掃描。12

6、 .在檢查框默認(rèn)選擇"InSessionDetection,測(cè)試信息中響應(yīng)是"in-session”的會(huì)突出顯示。在掃描過(guò)程中，AppScan發(fā)送心跳信息請(qǐng)求，檢查這個(gè)測(cè)試的響應(yīng)來(lái)確定它是否登陸（有必要的話重新登陸）。檢查測(cè)試突出是否是正式會(huì)話的真實(shí)證據(jù)。13 .點(diǎn)擊“Next”。14 .選擇適當(dāng)?shù)膯芜x按鈕開始自動(dòng)掃描（開始全面自動(dòng)掃描），和手動(dòng)檢查同時(shí)或延后（只有在點(diǎn)擊工具欄上開始按鈕的圖表后才開始）。15 .（可選）當(dāng)用戶結(jié)束向?qū)r(shí)默認(rèn)選擇掃描專家檢查欄以便啟動(dòng)掃描專家。用戶也可以清除此項(xiàng)進(jìn)入掃描步驟。16 .點(diǎn)擊“Finish”關(guān)閉向?qū)?。三、掃描結(jié)果結(jié)果在三個(gè)視圖中顯

7、示。通過(guò)視圖選擇上的按鈕選擇視圖（默認(rèn)為問(wèn)題視圖）。這三個(gè)視圖中顯示的數(shù)據(jù)會(huì)隨選擇的視圖不同而改變。安全問(wèn)題視圖：從宏觀到特定的請(qǐng)求/響應(yīng)顯示發(fā)現(xiàn)的實(shí)際問(wèn)題。應(yīng)用樹：完整應(yīng)用樹。計(jì)數(shù)器顯示每一項(xiàng)所發(fā)現(xiàn)的問(wèn)題數(shù)。結(jié)果列表：顯示所選樹中節(jié)點(diǎn)的問(wèn)題列表。顯示問(wèn)題的優(yōu)先級(jí)別。詳細(xì)資料欄：顯示在結(jié)果列表上所選問(wèn)題的顧問(wèn)信息、修改建議、請(qǐng)求/響應(yīng)（包括一些多樣的）。修改工作視圖：提供一個(gè)修改掃描中發(fā)現(xiàn)問(wèn)題的詳細(xì)修改意見(jiàn)表。應(yīng)用樹：完整應(yīng)用樹。計(jì)數(shù)器顯示每一項(xiàng)所提供的修改意見(jiàn)數(shù)。結(jié)果列表：列出樹中所選節(jié)點(diǎn)的意見(jiàn)列表。顯示意見(jiàn)的優(yōu)先級(jí)別。嚴(yán)重等級(jí)：結(jié)果列表會(huì)顯示應(yīng)用樹中所選擇節(jié)點(diǎn)的問(wèn)題。這些可以是：基本級(jí)（顯

8、示所有站點(diǎn)問(wèn)題）頁(yè)面級(jí)（顯示所有頁(yè)面問(wèn)題）參數(shù)級(jí)（顯示所有特定頁(yè)面特定請(qǐng)求的問(wèn)題）注意：分配給問(wèn)題的嚴(yán)重等級(jí)可以手動(dòng)更改。四、生成安全測(cè)試報(bào)告工具欄上的報(bào)告圖標(biāo)使用戶可以選擇三種報(bào)告模板之一，并且設(shè)置生成報(bào)告模板的內(nèi)容和布局。1 .安全報(bào)告掃描中發(fā)現(xiàn)的安全問(wèn)題報(bào)告。有六個(gè)可選項(xiàng)：概要：圖表和表格形式的統(tǒng)計(jì)概要。細(xì)節(jié)：在概要中增加所有細(xì)節(jié)。修改：要求修改的工作列表一決定發(fā)現(xiàn)的問(wèn)題。開發(fā)：?jiǎn)栴}列表，修改工作和應(yīng)用資料。QA:報(bào)告列表和修改建議，應(yīng)用資料和訪問(wèn)的URL。站點(diǎn)清單：站點(diǎn)列表和應(yīng)用資料。2 .行業(yè)標(biāo)準(zhǔn)為使用所選擇的行業(yè)委員會(huì)標(biāo)準(zhǔn)的用戶提供其內(nèi)容（比如OWASPTop10、SANSTop2

9、0、WASC等）。如果有必要用戶可以創(chuàng)建并根據(jù)自己習(xí)慣檢查標(biāo)準(zhǔn)檢查列表。3 .調(diào)整服從為使用在規(guī)則或者官方標(biāo)準(zhǔn)中選擇標(biāo)準(zhǔn)的用戶提供其內(nèi)容（比如HIPAA、GLBA、COPPA、SOX、力口州SB1386和AB1950、歐洲的1995/46/EC）。如果有必要用戶可以創(chuàng)建并根據(jù)自己習(xí)慣檢查標(biāo)準(zhǔn)并修改標(biāo)準(zhǔn)模板（詳見(jiàn)用戶指導(dǎo)）。分析報(bào)告準(zhǔn)備兩套掃描結(jié)果顯示不同的URL和（或）發(fā)現(xiàn)的安全問(wèn)題。4 .模板報(bào)告報(bào)告的一種形式，包括用戶規(guī)定的數(shù)據(jù)和用戶規(guī)定的文件格式，用微軟Word.doc格五、手動(dòng)檢查的步驟手動(dòng)檢查使用戶了解手動(dòng)應(yīng)用，在鏈接上點(diǎn)擊和輸入數(shù)據(jù)可以補(bǔ)充自動(dòng)掃描不能執(zhí)行的URL特殊的數(shù)據(jù)信息。有

10、三種情況使用戶考慮手動(dòng)探索而不使用自動(dòng)掃描：反自動(dòng)化的（比如需要填入一些由圖片顯示的隨機(jī)詞語(yǔ)）檢查一個(gè)特殊的用戶過(guò)程（用戶使用腳本存取的URL文件和參數(shù)）有些URL在掃描過(guò)程中可能同時(shí)起作用。創(chuàng)建一個(gè)手動(dòng)檢查使用戶填入可用數(shù)據(jù)。錄制一個(gè)手動(dòng)檢查：1 .點(diǎn)手動(dòng)檢查。一個(gè)Internet瀏覽器打開。2 .了解站點(diǎn)，點(diǎn)擊鏈接填入需要的地址。3 .結(jié)束時(shí)關(guān)閉瀏覽器。一個(gè)檢查URL對(duì)話框出現(xiàn)。4 .如果列表符合要求，點(diǎn)擊OKAppScan檢查用戶的輸入是否適合從文件自動(dòng)添加，如果可以，詢問(wèn)用戶是否想添加。5 .執(zhí)行下面某條：如果用戶不想把這次錄制用于未來(lái)的掃描，點(diǎn)擊No。如果想把部分或者全部輸入從文件自動(dòng)添加，點(diǎn)擊Yes并從臨時(shí)參數(shù)列表中選擇一項(xiàng)，點(diǎn)擊Move（把他們移到現(xiàn)有參數(shù)列表），然后點(diǎn)OK6 .點(diǎn)擊OKAppScan分析用戶輸入的URL,然后根據(jù)這個(gè)分析創(chuàng)建測(cè)試。7 .運(yùn)行新的測(cè)試點(diǎn)擊測(cè)試，然后選擇繼續(xù)測(cè)試。六、安裝和升級(jí)1 .安裝將AppScan安裝保存在計(jì)算機(jī)中，雙擊它，然后根據(jù)提示操作。注意：安裝過(guò)程中選擇安裝目錄，必須先