AppScan使用手冊

1、本人英語能力有限，如有錯誤請見諒。譯者這個向?qū)茿ppScan用戶向?qū)謨院虯ppScan在線幫助的補充（fairyox）。主要目的是為這個產(chǎn)品做介紹，如果需要更多的資料和詳細(xì)的說明書請參閱用戶手冊和在線幫助1安裝1.1 AppScan安裝將AppScan安裝保存在計算機中，雙擊它，然后根據(jù)提示操作。1.2 注冊文件安裝AppScan安裝中包括一個允許掃描指定站點的注冊文件（見章節(jié)1.4）,但是不能掃描其他站點。掃描其他站點需要得到舊M授予的合法注冊文件。這樣就可以掃描其他站點并讀取和保存掃描模版，否則不能運行其他站點的掃描。安裝掃描文件：1 .打開AppScan2 .在幫助菜單選擇Licen

2、se3 .如果已經(jīng)有注冊文件：點LoadLicenseFile,找到注冊文件，點Open?；蛘咴诰W(wǎng)上獲得注冊文件：確認(rèn)連接好Internet網(wǎng)，點ObtainLicenseOnline,然后根據(jù)提示操作4 .點ok關(guān)閉注冊對話框。1.3 升級IBM每天升級AppScan的應(yīng)用弱點數(shù)據(jù)庫。每次AppScan會自從從舊M搜索、安裝升級補丁。用戶也可以隨時手動升級：打開AppScan,點擊*|升級,根據(jù)提示操作。1.4 AppScan的試用版如果您在使用AppScan的試用版，注冊文件只允許您對舊MRationalAppScan定制的測試站點進行測試：AppScan下載：測試站點:用戶名：密碼：js

3、mithdemo12342概述2.1主界面)etallPan*AppScan主界面包括一個菜單欄、工具欄和視圖選擇，還有三個數(shù)據(jù)窗口：應(yīng)用樹、結(jié)果列表和細(xì)節(jié)。下圖是主界面在進行數(shù)據(jù)掃描（掃描前三個數(shù)據(jù)窗口和統(tǒng)計圖是空白的）。ViewSelector視圖選擇選擇三個按鈕中的一個來選擇三個窗口數(shù)據(jù)顯示的類型。ApplicationTree應(yīng)用樹AppScan收集掃描結(jié)果時會把他們顯示在應(yīng)用樹中；在掃描結(jié)束時應(yīng)用樹顯示所有AppScan在應(yīng)用中找到的文件夾、URL和文件。ResultList結(jié)果列表顯示應(yīng)用樹中被選節(jié)點有關(guān)的結(jié)果。DetailPane細(xì)節(jié)顯示結(jié)果列表中被選項的詳細(xì)信息，在三個頁面分別

4、顯示報告、建議和請求/響應(yīng)。Dashboard統(tǒng)計圖用連續(xù)視圖的形式顯示當(dāng)前結(jié)果。2.2 站點掃描的基本原理AppScan掃描由兩個階段組成：探測和測試。探測階段：AppScan用模擬人為點擊鏈界和填寫表格的方式探測站點（應(yīng)用或者Web服務(wù)）。它分析響應(yīng)，查找潛在弱點的跡象并利用他們創(chuàng)建測試請求測試階段：AppScan在探索期間發(fā)送上千個預(yù)定的測試請求。記錄并分析應(yīng)用的響應(yīng)，辨別安全問題并排列他們的安全級別2.3 應(yīng)用VSWeb服務(wù)AppScan能夠掃描Web應(yīng)用和Web服務(wù)。Web應(yīng)用：在應(yīng)用的情況下，它會在開始的URL和注冊認(rèn)證方面進行充分的安全掃描以保證能夠測試站點。如果有必要也可以手動

5、運行站點，以擴大安全掃描到只有用戶手動才能涉及到的范圍。Web服務(wù)：在Web服務(wù)的情況下，舊M特殊工具WebServicesExplorer”創(chuàng)建一個簡單的界面顯示可連接的服務(wù)和輸入?yún)?shù)及結(jié)果。過程是AppScan錄制和為服務(wù)創(chuàng)建測試。2.4 典型流程1 .選擇一個掃描模板。2 .打開配置向?qū)Р⑦x擇Web應(yīng)用掃描和Web服務(wù)掃描中的一種。3 .用向?qū)?chuàng)建掃描：為應(yīng)用掃描：a.填入開始的URL。b.（推薦）手動執(zhí)行登陸指南。c.（可選）檢查測試策略。為Web服務(wù)掃描：a.填入WSDL文件位置。b.（可選）檢查測試策略。c.在AppScan錄制用戶輸入和回復(fù)時，用自動打開的Web服務(wù)探測器借口發(fā)送

6、請求到服務(wù)端。4 .（可選）掃描專家a.打開掃描專家來檢查用戶為應(yīng)用掃描配置的效果。b.檢查提示配置改變并選擇適用的。注意：你也可以配置掃描專家執(zhí)行分析，然后在開始掃描時適用一些它的一些建議。5 .開始自動掃描。6 .檢查結(jié)果并（必需）：為沒有發(fā)現(xiàn)的鏈接額外執(zhí)行手工的掃描打印報告檢查糾正工作3掃描配置向?qū)eb服務(wù)掃描配置用配置向?qū)е笇?dǎo)涉及到應(yīng)用掃描配置的質(zhì)量。為高級配置方式和的詳細(xì)資料有關(guān)的AppScan用戶指導(dǎo)或在線幫助。配置掃描：1 .開始AppScan出現(xiàn)的歡迎屏幕2 .點擊創(chuàng)建新掃描(CreateNewScan)打開的新掃描對話框。3 .在預(yù)先確定的模板區(qū)域內(nèi)，點Default”來使

7、用默認(rèn)模板。(如果使用AppScan掃描一些有規(guī)定模板的站點，請選擇那個模板：Demo.Testfire,Fvoundstone或者WebGoat。)掃描配置向?qū)g迎。注意：如果AppScan已經(jīng)打開，可以通過點擊New”啟動向?qū)В缓簏c擊OK”。4 .選才WWeb應(yīng)用掃描WebApplicationScan"然后點Next”執(zhí)行三個步驟中的第一個。5 .在起始URL框中填入應(yīng)用的URL。注意：如果需要添加另外的服務(wù)器或域點擊Advanced”按鈕。6 .點擊Next”進行向?qū)У牡诙健? .在單選按鈕中選擇錄制注冊RecordedLogin”,然后點擊New”。顯示出一個描述步驟的

8、信息。8 .點擊OK”。在交點離開錄制按鈕的同時瀏覽器打開。9 .瀏覽器打開到注冊頁面，錄制一段正規(guī)的注冊流程，然后關(guān)閉瀏覽器。10 .在會話信息對話框中，檢查注冊流程，然后點擊OK”。11 .點擊Next”執(zhí)行向?qū)е械牡谌?。在這一步中需要檢查掃描運用的測試策略（比如用的哪一種掃描類別）。注意：系統(tǒng)默認(rèn)所有非侵入性測試將被執(zhí)行。注意：使用Advanced”按鈕可以控制其他的測試選項，包括特殊增加（對沒有足夠權(quán)限的用戶容易涉及到的保密資源范圍進行測試）和多項掃描。12 .在檢查框默認(rèn)選擇InSessionDetection”,測試信息中響應(yīng)是ih-session”的會突出顯示。在掃描過程中，AppScan發(fā)送心跳信息請求，檢查這個測試的響應(yīng)來確定它是否登陸（有必要的話重新登陸）。檢查測試突出是否是正式會話的真實證據(jù)。13 .點擊Next”。14 .選擇適當(dāng)?shù)膯芜x按鈕開始自動掃描（開始全面自動掃描），和手動檢查同時或延后（只有在點擊工具欄上開始按鈕的圖表后才開始）。15 .（可選）當(dāng)用戶結(jié)束向?qū)r默認(rèn)選擇掃描專家檢查欄以便啟動掃描專家。用戶也可以清除此項進入掃描步驟。16 .點擊Finish”關(guān)閉向?qū)А?掃描專家當(dāng)完整的運行過掃描向?qū)е?，用戶可以使用掃?/p>