AppScan安全测试文档PPT课件.ppt

资源描述

《AppScan安全测试文档PPT课件.ppt》由会员分享，可在线阅读，更多相关《AppScan安全测试文档PPT课件.ppt（24页珍藏版）》请在金锄头文库上搜索。

1、AppScan安全测试一朱晟徐春梅 1 目录典型工作流程安全测试实例欧索在线测评平台 2 典型工作流程 1 选择一个扫描模板2 打开配置向导并选择Web应用扫描和Web服务扫描中的一种 3 用向导创建扫描为应用扫描为Web服务扫描a 填入开始的URLa 填入WSDL文件位置b 推荐手动执行登录指南b 可选检测测试策略c 可选检测测试策略c 在AppScan录入用户输入和回复时用自动打开的Web服务探测器接口发送请求到服务端 4 可选扫描专家a 打开扫描专家来检查用户为应用扫描配置的效果b 检查提示配置改变并选择合适的 5 开始自动扫描 3 典型工作流程 6 检查结果并

2、必需为没有发现的链接额外执行手工的扫描打印报告检测纠正工作手动扫描1 点手动检查打开浏览器2 了解站点点击链接填入输入需要的地址3 结束时关闭浏览器一个检查URL对话框出现4 如果列表符合要求点击确定 4 目录典型工作流程安全测试实例欧索在线测评平台 5 安全测试实例扫描配置向导扫描配置完全扫描 6 扫描配置向导输入URL地址 http 172 17 100 184 10001 ote os 备注 1 从该URL启动扫描输入应用程序的URL 扫描会从该URL开始2 要检查输入的起始URL 是否正确可以在AppScan浏览器中查看所输入的URL3 区分大小写路径选中

3、该复选框时缺省仅因大小写而有区别的链接将被视为不同的页面 4 其他服务器和域如果应用程序包含的服务器或域不同于起始URL 包含的服务器或域但AppScan许可证包含这些服务器或域那么您必须将它们添加到此处以便将它们包含在扫描中 5 我需要配置其他连接设置缺省情况下AppScan会使用IE代理设置仅当想要AppScan使用其他代理时选中该复选框 URL和服务器 7 扫描配置向导选择默认的记录推荐方式点击记录按钮 AppScan浏览器会打开扫描的启示URL 成功登陆后关闭该浏览器备注 1 记录推荐如果选择该选项 AppScan将使用您记录的登录过程像实际用

4、户一样填充字段并单击链接这是建议的登录方法 2 提示如果每次登录都需要人机交互如验证码则选择提示在这种情况下必须仍然记录登录过程虽然AppScan不会使用记录的过程来尝试登录但是他需要将该过程作为参考来了解何时已被注销 3 自动如果AppScan可仅使用名称和密码来登录而不需要特定的过程选择该选项输入用户名密码 4 无仅当应用程序不需要登录时或因为其他原因不想AppScan登录时才选择该选项登录管理 8 扫描配置向导 9 扫描配置向导测试策略选择 Default 备注检查测试策略是否适合需要如果不能肯定保持缺省测试策略测试策略 10 扫描

5、配置向导备注选择以下某个选项 1 启动全面自动扫描启动应用程序的全面扫描探索后将立即进行测试 2 仅使用自动探索启动探索应用程序但不继续测试阶段可以稍后运行测试阶段 3 使用手动探索启动会打开浏览器可以单击链接并填充字段以手动探索站点 AppScan将记录结果以便在测试阶段使用 4 我将稍后启动扫描关闭向导不启动扫描下次启动扫描时会使用该模板完成扫描配置向导后启动扫描专家只有已选择前三个扫描选项之一时该复选框才是活动的如果希望扫描专家主扫描启动前评估配置选择该复选框选择启动全面自动扫描勾选中完成扫描配置向导后启

6、动扫描专家完成 11 安全测试实例扫描配置向导扫描配置完全扫描 12 扫描配置在很多缺省选项都不需要更改时扫描配置向导是配置和启动扫描的最简单方法但是如果需要更改高级选项那么要使用扫描配置扫描配置对话框会提供配置扫描的很多选项通过扫描配置向导也可获得主要的选项在工具栏上单击扫描配置图标或者单击扫描配置向导左下角的完全扫描配置链接即可打开扫描配置界面 13 扫描配置备注 URL和服务器登录管理测试策略与扫描配置向导中内容相近这里不需要再重新配置了 14 扫描配置环境定义备注 1 环境定义并不重要但是可以使AppScan在扫描期间以安全的方式避

7、免发送无关测试使得扫描更加迅速和精确 2 每个选项可以选择多项 15 扫描配置排除路径和文件备注 1 可以配置AppScan以忽略应用程序中某些路径或文件的特定类型但是应该谨慎应用排除因为它们可能具有重要问题 2 可以通过将URL 可能包括查询的完整路径或正则表达式添加到排除或包括路径列表来过滤探索阶段的作用域 3 可以配置AppScan以忽略扫描期间的特定文件类型例如如果排除了图形文件那么扫描将会运行得更快但是应该谨慎使用排除文件 16 扫描配置点击排除路径中的按钮例如该系统中我的消息模块已经侧过了则将我的消息排除在外扫描时就不会扫描此界面 17 扫

8、描配置探索选项备注 1 扫描限制确定AppScan探索应用程序的深度或速度 2 JavaScript 和 Flash 选项确定AppScan应该忽略还是扫描这些脚本3 探索方法确定继续下一个页面之前AppScan是探索页面上的所有链接还是探索它所找到的每个新链接 18 扫描配置参数和cookie 备注 1 用于管理由AppScan从应用程序所接收到的参数和cookie的全局列表以及自己的定制参数 2 探索阶段 AppScan自动检测可能是会话标识的cookie和HTML参数并将其添加到此列表可以手动添加知道是会话标识的cookie和参数 3 应用程序可能具有某些参数和co

9、okie 如果测试期间不希望AppScan控制他们的值要确保AppScan没有更改这些参数和cookie 请从测试中排除 19 扫描配置自动表单填充备注 1 自动表单填充是指AppScan填充应用程序中的表单所用的值许多表单存在缺省值并且这些值会自动更新以包含在记录的登录期间输入的任何值 20 扫描配置多步骤操作备注 1 应用程序某些部分只能通过按特定顺序发送请求才能达到的情况下使用 2 通过多步骤操作可以记录和管理一个或多个此类序列学员测评必须登录后才可以参与必须考完试后才可以查看测评结果则必须进行多步骤操作先登录在参与考试考完试后才可以查看测评结果 2

10、1 扫描配置 1 点击开始按钮选择记录不登录 2 AppScan浏览器打开参照登录进行登录 3 登录后点击我的测评点击试卷创新意识测试试卷开始考试 22 扫描配置 4 点击点击开始测评按钮开始考试 5 考完试后点击提交按钮 6 点击测评结果查看考试结果 23 扫描配置 7 关闭AppScan浏览器返回扫描配置界面查看序列列表 24 扫描配置通信和代理备注 1 超时设置AppScan等待来自Web服务器的响应的时间限制 2 线程数如果发现AppScan发出的高速请求使网络或服务器超负载超出其能力范围那么减少该数目 25 安全测试实例扫描配置向导扫描配置完全扫描 26 自动扫描点击扫描配置界面的确定按钮点击扫描配置向导界面启动全面自动扫描点击完成按钮保存扫描人才测评 scan开始扫描专家评估扫描 27 自动扫描点击工具栏的按钮开始完全扫描 28 谢谢 29

展开阅读全文