AppScan使用之:网站安全扫描测试

AppScan是业界第一款并且是领先的web应用安全测试工具包,也是唯一一个在所有级别应用上提供全面纠正任务的工具。AppScan扫描web应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。AppScan的扫描能力,配置向导和详细的报表系统都进行了整合,简化使用,增强用户效率,有利于安全防范和保护web应用基础架构。
下面来详细介绍AppScan进行网站安全扫描测试的使用步骤:
1、如果你是第一次启动,屏幕中央将会出现一个“欢迎”对话框。在此对话中,您可以点击“入门”链接,查看 IBM Rational AppScan 的“新手入门帮助文档”。这里我们点击“创建新的扫描”来创建网站安全扫描任务。

创建新的扫描
2、在“新建扫描”窗口中,点击右侧预定义模板中的“常规扫描”链接,将出现“扫描配置向导”。
常规扫描
3、在配置向导中提供“Web应用程序扫描(A)”和“Web Service扫描(S)”的扫描(如果需要进行Web Service的扫描必须先下载安装GSC),这里默认选择 “Web应用程序扫描”,点击下一步。

扫描选择4、这里使用IBM提供的测试 Web 站点:http://demo.testfire.net。点击URL链接后的按钮可以打开APPSCAN浏览器查看网站是否可以正常连接。勾选“仅扫描此目录中或目录下的链接”,然后点击下一步。

URL和服务器5、在弹出登录提示框时,用于登录这一测试站点的用户名及密码为:用户名(Username):jsmith ,密码(Password): Demo1234 。
这里有四种登录方法:
1)记录(推荐):通过记录一次被测网站的登录过程作为扫描时登录到网站。(一般推荐使用此选项)
2)提示:记录一次被测网站的登录过程,当扫描时给予提示,输入用户校验信息登录到网站。(如果有验证码时,建议使用此)
3)自动:通过输入已知被测网站的用户名和密码,在扫描时自动登录到网站。
4):不需要登录。
这里选择“记录(推荐)”,点击“记录”按钮,在弹出浏览框中的网站(http://demo.testfire.net)中输入上面提供的用户名和密码来记录网站登录过程,登录成功后关闭弹出的浏览框即完成记录。点击下一步进入到测试策略设置窗口。

登录管理策略
6、测试策略默认为“缺省值”,也可以点击“完全扫描配置”进入扫描配置窗口,对策略进行具体的设置,包括筛选所要扫描的威胁分类,定义严重性等级等,也可以设置其他配置参数。完成设置点“确认”后返回扫描配置向导窗口,点击下一步,进入到完成扫描配置向导窗口。

策略选择

测试策略选择完全扫描配置

完全扫描配置7、在完成扫描配置向导中,使用默认配置,点击完成。在弹出的“自动保存”窗口中选择是,并输入保存的文件名(如,JustTest),完成后即进入网站全面扫描。

8、当探索阶段完后,需要点击“扫描”按钮,选择“继续完全扫描”。在执行Web安全扫描任务的过程中,你可以随时查看已经检测出的Web安全问题。扫描专家评估完成后,会显示所建议的配置更改核实表。

探索扫描

探索扫描完成

继续完全扫描

继续完全扫描注意:如果存在用户输入的AppScan无法执行的更改,那么它们的复选框会显示成灰色且为未选中状态,如果要修改这些更改,单击更改的链接。

9、扫描完成后,点击“报告”,创建安全扫描报告。在“安全报告”会提供扫描期间发现的安全问题信息。
1)选择模板:管理综合报告、详细报告、修复任务、开发者、QA、站点目录。
注:可以通过你所需要的内容,在右侧树中选择你报告所有体现的内容
2)从最低严重性列表中,选择要包含在报告中的问题最低严重性级别。(可以在布局中设置logo等)
3)点击保存报告,自动生成报告;报告提供PDA或WORD格式的保存。

安全报告
至此,完成了网站的安全扫描测试。



留言