标签：Web 登录 扫描 选择 安全 测试 AppScan Appscan 工具

一、AppScan概述

　　AppScan是专门面向Web应用安全检测的自动化工具，是对Web应用和Web Services进行自动化安全扫描的黑盒工具。它不但可以发现和修复Web应用安全隐患的过程，还可根据发现的安全隐患给出针对性的修复建议，并生成详细、标准的报告。

二、AppScan扫描原理

1.通过自动化的“爬虫”技术发现整个 Web 应用结构 （众多页面和页面参数）；

2.根据分析，发送修改的 HTTP Request 进行攻击尝试（扫描规则库）；

3.通过对于 Respone 的分析验证是否存在安全漏洞；

 

三、AppScan提供四种类型的扫描

1.Web应用程序扫描：提供具有起始URL和登录凭证的AppScan,以便测试站点。若有必要，可手动搜寻站点，为AppScan提供对只能通过特定用户输入来搜寻的区域的访问权。

2.Web Service扫描：集成的Rational工具GSC会创建一个接口，用于显示可用的服务，并允许输入参数和查看结果。该过程通过AppScan来记录并用来针对服务创建测试。

3.使用外部客户机扫描：使用移动设备、浏览器或其他客户机进行浏览，并用appscan作为代理。

4.增量扫描：使用增量扫描仅测试应用程序的新内容。

四、AppScan扫描包含两个阶段：探索和测试

1.探索阶段：AppScan将探索站点（Web Service、应用程序），方法是：模拟Web用户 单击链接并填写表单字段。它将分析响应，以查找潜在漏洞的指示，并使用这些响应来  创建测试请求。探索行为具有高度的可配置性，可使用 “扫描专家”进行优化。

2.测试阶段：AppScan将发送在探索过程中所创建的数以千计的定制测试请求。它将记录  和分析应用程序的响应，用以标识安全性问题并对这些问题的安全性风险级别进行评级。

完成探索和测试的第一阶段后，AppScan会自动开始新的阶段，以处理测试阶段中发现的任何新的信息。完成了已配置数量的扫描阶段后，扫描将结束。

五、AppScan安装

• 应用版本：AppScan_Std_10.0.3
• 文件主要包括两个包：一个安装包、一个破解包

        

• 选择安装包开始安装（建议：采用默认路径安装）
• 选择中文，点击“确定”

           

• 勾选“我已阅读并接受许可条款”点击“安装”

         

• 建议不更改安装路径，采用默认路径安装
• 安装成功后，点击“完成”

• 安装完成之后把AppScan破解文件中的AppScanSDK.dll和HclLicenseProvider.dll文件复制粘贴到安装路径，替换原有的文件，即可完成破解

        

           

 

 

 

六、扫描流程

1.新建扫描任务--选择扫描类型

• 扫描类型的选择，打开AppScan工具，点击“新建”，会弹出一个扫描类型选择框，根据需要选择，一般选择“扫描Web应用程序”

        

 

• 若只对Web程序本身的漏洞检测，就选Web 应用程序扫描即可；
• 若需要对Web服务进行扫描，则选择Web Service；
• 如果选择Web Service扫描，则需提前告知服务器维护的负责人，建立异常情况发生的处理机制，最好避开访问请求的高峰or办公人员集中使用的时间，比如下班后自动扫描；
• 若需要使用Web Service扫描功能，需要提前下载安装好GSC Web Services记录器；
• 若只对应用程序新增内容进行扫描，则选择增量扫描。

2.新建扫描任务—输入起始URL

• 下一步会进入扫描配置向导，输入“起始URL（appscan测试网址：https://demo.testfire.net） 

 3.新建扫描任务--选择登录方法

• 进入登录管理，因为有些页面需要登录后才能做有效的扫描，这里记录的是登录所需信息，便于扫描时能登录应用程序。总共有4种方法，比较常用的是“记录”和“自动”

          

• 若登录方法选择“记录”，则可通过界面右侧的“记录（R）”按钮打开APPScan内置浏览器并输入登录信息，内置浏览器会自动关闭，AppScan即可记录该用户名和密码，扫描的时候相当于是已登录此账户的状态进行扫描；
• 若选择“提示”，则根据网站扫描探索过程中需要登录会提示输入登录信息，人工输入正确的账号信息之后继续扫描；
• 若选择“自动”，则填写用户名和密码，APPScan在扫描过程中，会自动使用用户名和密码登录继续扫描；
• 若选择“无”，则不需输入登录账户。

• 登录方法选择记录，点击推荐浏览器，打开的登录页面中输入用户名和密码，登录成功后点击“我已登录到站点”

 　　

• 点击“我已登录到站点”后，工具开始进行登录序列的分析

 　　

• 分析完成登录序列后，页面显示已成功配置登录

　　

 

 

 4.新建扫描任务--选择测试策略

• 选择适当的测试策略，一般保持默认选择，即“缺省值”

　　

 

 

 5.新建扫描任务--选择测试优化

• 选择适当的测试优化，一般保持默认选择，即“快速”

       

 

 

 6.新建扫描任务--设置启动模式

• 根据实际需要选择，点击“完成”，即可开始启动扫描

　　

• 启动扫描：探索的同时，也进行攻击测试；
• 仅使用自动探索启动：自动探索网站的目录结构，可被测的链接范围及数目，不作实际攻击测试；
• 使用手动探索启动：先通过AppScan内置浏览器打开被测网站，手动点击不同的目录页面，然后AppScan记录之；
• 我将稍后启动扫描：先把此次网站的扫描配置进行保存，后续若想扫描的时候再继续操作。

7.其他扫描配置—排除路径和文件

• 根据需要排除一些路径（如登出URL）和文件（如静态页面）

　　

8.其他扫描配置—通信和代理

• 根据实际情况，设置扫描的线程数和超时时间，从而减低扫描速度，减少对应用服务器造成过高负载

　　

 

 

 9.其他扫描配置—测试策略

• 扫描策略是用默认的，如果要特殊的配置，可按实际勾选需要的，或者只想扫描某一块的信息。这里显示了所有策略分类

　　

 

 

 

七、手动探索

• 手动探索可以更好的针对每个模块进行请求抓取，抓取后针对每个请求进行漏洞扫描

       

 

八、扫描测试

• 根据实际情况，点击扫描，第一次扫描建议选择完全扫描

 

 

        

 

 

 

 九、扫描进行中

      

 

 

 

 十、分析结果

• 扫描结果分为三个模块：应用程序的应用链接、扫描出来的安全问题、问题分析及修复建议

 　　

• 问题信息：给出了选定的漏洞详细信息，显示具体的URL和与之相关的安全风险

 　　

• 咨询：可以找到问题的技术说明，受影响的产品，以及参考链接

　　

• 修订建议：给出该安全问题的修订建议

　　

 

 

十一、创建报告

• 在分析结束之后，可以针对所有确定的结果进行生成报告，其中包括为了解决问题需要遵循的补救措施的报告，报告是可以根据需求进行定制的

　　

 

标签：Web,登录,扫描,选择,安全,测试,AppScan,Appscan,工具
来源： https://www.cnblogs.com/micifang/p/16420029.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。