《appscan安全测试(一)》由会员分享,可在线阅读,更多相关《appscan安全测试(一)(24页珍藏版)》请在金锄头文库上搜索。
1、 AppScan安全测试(一)朱晟、徐春梅目录 典型工作流程 安全测试实例“欧索在线测评平台”典型工作流程1、选择一个扫描模板 2、打开配置向导并选择Web应用扫描和Web服务扫描中的一种。 3、用向导创建扫描:为应用扫描: 为Web服务扫描a.填入开始的URL a.填入WSDL文件位置b.(推荐)手动执行登录指南 b.(可选)检测测试策略c.(可选)检测测试策略 c.在AppScan录入用户输入和回复时, 用自动打开的Web服务探测器接口发送请求到服务端。 4、(可选)扫描专家a.打开扫描专家来检查用户为应用扫描配置的效果b.检查提示配置改变并选择合适的。 5、开始自动扫描典型工作流程6、检
2、查结果并(必需): 为没有发现的链接额外执行手工的扫描 打印报告 检测纠正工作*手动扫描 1、点“手动检查”:打开浏览器 2、了解站点,点击链接填入输入需要的地址 3、结束时关闭浏览器:一个检查URL对话框出现 4、如果列表符合要求,点击确定目录 典型工作流程 安全测试实例“欧索在线测评平台”安全测试实例 扫描配置向导 扫描配置 完全扫描扫描配置向导输入URL地址: http:/172.17.100.184:10001/ote.os备注: 1、从该URL启动扫描:输入应用程序的URL,扫描会从该URL开始 2、要检查输入的“起始URL”是否正确,可以在 AppScan浏览器中查看所输入的URL
3、 3、区分大小写路径:选中该复选框时(缺省),仅因大小写而有区别的链接将被视为不同的页面。 4、其他服务器和域:如果应用程序包含的服务器或域不同于“起始URL”包含的服务器或域,但AppScan许可证包含这些服务器或域,那么您必须将它们添加到此处,以便将它们包含在扫描中。 5、我需要配置其他连接设置:缺省情况下AppScan会使用IE代理设置,仅当想要 AppScan使用其他代理时选中该复选框。 URL和服务器扫描配置向导选择默认的“记录(推荐)”方式,点 击【记录】按钮,AppScan浏览器会打 开扫描的启示URL,成功登陆后,关闭 该浏览器。备注: 1、记录(推荐):如果选择该选项,App
4、Scan将使用您记录的登录过程,像实际用户一样填充字段并单击链接。这是建议的登录方法。 2、提示:如果每次登录都需要人机交互(如验证码),则选择“提示”。在这种情况下,必须仍然记录登录过程,虽然AppScan不会使用记录的过程来尝试登录,但是他需要将该过程作为参考来了解何时已被注销。 3、自动:如果AppScan可仅使用名称和密码来登录,而不需要特定的过程,选择该选项,输入“用户名”“密码”。 4、无:仅当应用程序不需要登录时,或因为其他原因,不想AppScan登录时,才选择该选项。 登录管理扫描配置向导扫描配置向导测试策略选择:Default备注: 检查“测试策略”是否适合需要。(如果不 能
5、肯定,保持“缺省测试策略”)。 测试策略扫描配置向导备注: 选择以下某个选项: 1、启动全面自动扫描:启动应用程序的全面扫描(“探索”后将立即进行“测试”)。 2、仅使用自动“探索”启动:探索应用程序,但不继续“测试”阶段(可以稍后运行“测试阶段”)。 3、使用“手动探索”启动:会打开浏览器,可以单击链接并填充字段,以手动探索站点。AppScan将记录结果,以便在“测试”阶段使用。 4、我将稍后启动扫描:关闭向导,不启动扫描 。下次启动扫描时,会使用该模板。 完成“扫描配置向导”后启动“扫描专家”:(只有已选择前三个扫描选项之一时,该复选框才是活动的)如果希望“扫描专家”主扫描启动前评估配置,
6、选择该复选框。选择“启动全面自动扫描”,勾选中“完 成扫描配置向导后启动扫描专家 ”。 完成安全测试实例 扫描配置向导 扫描配置 完全扫描扫描配置 在很多缺省选项都不需要更改时,“扫描配置向导”是配置和启动扫描的最简单方法。但是,如果需要更改高级选项,那么要使用“扫描配置”。 扫描配置对话框会提供配置扫描的很多选项,通过“扫描配置向导”也可获得主要的选项。 在工具栏上,单击扫描配置图标 或者单击“扫描配置向导”左下角的“完全扫描配置”链接,即可打开扫描配置界面。扫描配置备注: URL和服务器,登录管理测试策略与扫描配置向导中内容相近,这里不需要再重新配置了。扫描配置 环境定义备注: 1、环境定
7、义并不重要,但是可以使AppScan在扫描期间以安全的方式避免发送无关测试, 使得扫描更加迅速和精确。 2、每个选项可以选择多项。扫描配置 排除路径和文件备注: 1、可以配置AppScan以忽略应用程序中某些路径或文件的特定类型。但是应该谨慎应用排除,因为它们可能具有重要问题。 2、可以通过将URL(可能包括查询的完整路径)或“正则表达式”添加到排除或包括路径列表,来过滤“探索”阶段的作用域 。 3、可以配置AppScan以忽略扫描期间的特定文件类型。例如,如果排除了图形文件,那么扫描将会运行得更快,但是应该谨慎使用排除文件。扫描配置 点击排除路径中的“+”按钮例如该系统中“我的消息”模块已经
8、侧过了,则将我的消息排除在外 ,扫描时就不会扫描此界面。扫描配置 探索选项备注: 1、“扫描限制”确定AppScan探索应用程序的深度(或速度) 2、“JavaScript” 和“Flash”选项确定AppScan应该忽略还是扫描这些脚本 3、“探索方法”确定继续下一个页面之前AppScan是探索页面上的所有链接,还是探索它所找到的每个新链接。扫描配置 参数和cookie备注: 1、用于管理由AppScan从应用程序所接收到的参数和cookie的全局列表,以及自己的定制参数。 2、“探索”阶段,AppScan自动检测可能是会话标识的cookie和HTML参数 ,并将其添加到此列表。可以手动添加
9、知道是会话标识的cookie和参数 。 3、应用程序可能具有某些参数和cookie,如果测试期间,不希望AppScan控制他们的值,要确保AppScan没有更改这些参数和cookie ,请从测试中排除。扫描配置 自动表单填充备注: 1、自动表单填充是指AppScan填充应用 程序中的表单所用的值。许多表单存在 缺省值,并且这些值会自动更新以包含 在“记录的登录”期间输入的任何值。扫描配置 多步骤操作备注: 1、应用程序某些部分只能通过按特定 顺序发送请求才能达到的情况下使用。 2、通过“多步骤操作”,可以记录和 管理一个或多个此类序列。学员测评,必须登录后才可以参与,必须考完试后才可 以查看测
10、评结果;则必须进行多步骤操作:先登录,在 参与考试,考完试后才可以查看测评结果。扫描配置1、点击开始按钮 选择:记录(不登录)。2、AppScan浏览器打开,参照(登录),进行登录。3、 登录后,点击【我的测评】点击试卷“创新意识测试”试卷,开始考试。扫描配置4、 点击【点击开始测评】按钮,开始考试。5、考完试后,点击提交按钮。6、 点击【测评结果】查看考试结果。扫描配置7、关闭AppScan浏览器,返回扫描配置界面。查看序列列表。扫描配置 通信和代理备注: 1、超时:设置AppScan等待来自Web服务器的响应的时间限制 。 2、线程数:如果发现AppScan发出的高速请求使网络或服务器超负载(超出其能力范围),那么减少该数目。安全测试实例 扫描配置向导 扫描配置 完全扫描自动扫描 点击扫描配置界面的【确定】按钮 点击扫描配置向导界面“启动全面自动扫描”,点击【完 成】按钮 保存扫描:人才测评.scan 开始:扫描专家评估扫描自动扫描 点击工具栏的 按钮,开始完全扫描。谢 谢 !
