appscan經(jīng)典教程

1、 質(zhì)量保證部 朱晟APPSCAN安全測試工具基礎(chǔ)內(nèi)容概要 Watchfire AppScan是業(yè)界第一款并且是領(lǐng)先的web應(yīng)用安全測試工具包，也是唯一一個在所有級別應(yīng)用上提供全面糾正任務(wù)的工具。AppScan掃描web應(yīng)用的基礎(chǔ)架構(gòu)，進(jìn)行安全漏洞測試并提供可行的報(bào)告和建議。AppScan的掃描能力，配置向?qū)Ш驮敿?xì)的報(bào)表系統(tǒng)都進(jìn)行了整合，簡化使用，增強(qiáng)用戶效率，有利于安全防范和保護(hù)web應(yīng)用基礎(chǔ)架構(gòu)。 在商業(yè)安全掃描工具中，提供簡體中文支持的，目前也只有AppScan一個。 內(nèi)容索引 系統(tǒng)需求 安裝過程 許可證安裝 簡單的運(yùn)行安全測試系統(tǒng)需求安裝 Rational AppScan “安裝向?qū)А睍?/p>

2、指導(dǎo)您快速簡單地完成安裝過程。 許可證安裝許可證安裝由于新版7.8以前的產(chǎn)品的舊格式（.lic）許可證可以繼續(xù)用于新版本的APPSCAN所以可以使用以下方法進(jìn)行破解。解壓AppScan7.8破解.rar你會看到: patch.exekeygen.exe如果沒有看到keygen.exe那肯定被你的殺毒軟件給干了.解壓之前一定要關(guān)掉所有殺毒的（包括關(guān)閉自動防護(hù)）.第一步:打開patch.exe - patch -Can not find the file. Search the file?-是-(AppScan安裝目錄下)選中engine_control.dll-OK第二步:打開keygen.ex

3、e - 在第一個框Team EDGE輸入隨便輸入如：keygen -Generate-當(dāng)前目錄生成license.lic第三步： 將自動生成的license.lic復(fù)制到APPSCAN的安裝目錄License文件夾下。 第四步： 打開APPSCAN程序，單擊幫助-許可證-裝入舊格式（.lic）許可證成功后可以看到顯示： 許可證：舊許可 類型：Enterprise E安全測試基本工作流程掃描的原則掃描的原則“Appscan全面掃描”包含兩個階段：探索和測試。探索階段探索階段在第一個階段里，appscan會通過模仿成web用戶單擊鏈接并填寫表單字段來探索站點(diǎn)（web應(yīng)用程序或web server）

4、這就是探索階段。探索階段可以遍歷每個URL路徑，并分析后創(chuàng)建測試點(diǎn)。測試階段測試階段“測試”期間，appscan會發(fā)送它在“探索”階段創(chuàng)建的成千上萬個定制的測試請求，通過你定制好的測試策略分析每個測試的響應(yīng)，最后根據(jù)規(guī)則識別應(yīng)用程序中的安全問題，并排列這些安全問題的風(fēng)險級別。啟動 AppScan 應(yīng)用程序，顯示主窗體 嘗試嘗試一次簡單的安全測試菜單欄：涵蓋了 AppScan 中的所有可用功能 工具條：常用功能的快捷菜單，如開始掃描、掃描配置、掃描專家等 左上部網(wǎng)站導(dǎo)航視圖（應(yīng)用程序樹）：在掃描過程中 AppScan 會按照一定的層次組織顯示站點(diǎn)結(jié)構(gòu)圖（默認(rèn)是按照 URL 層次進(jìn)行組織，用戶可以

5、在掃描配置中更改這一設(shè)置） 右上部安全問題顯示視圖（結(jié)果列表）：AppScan 將在此視圖中列出檢測到的所有安全缺陷 左下部安全問題匯總視圖（儀表板）：AppScan 將在此視圖中列出檢測到的安全缺陷統(tǒng)計(jì)信息 右下部安全問題詳細(xì)信息視圖：此視圖的內(nèi)容與安全問題顯示視圖相關(guān)，用來顯示某特定安全問題的詳細(xì)信息，包括問題介紹、修復(fù)建議、測試數(shù)據(jù)等 如果你是第一次啟動，屏幕中央將會出現(xiàn)一個“歡迎”對話框。在此對話中，您可以點(diǎn)擊“入門”鏈接，查看 IBM Rational AppScan 的“新手入門幫助文檔”。 也可以點(diǎn)擊“創(chuàng)建新的掃描”來創(chuàng)建您的第一次Web安全掃描任務(wù)。 以下例子將選擇“常規(guī)掃描”

6、舉例，點(diǎn)擊右側(cè)預(yù)定義模板中的“常規(guī)掃描”鏈接，將出現(xiàn)“掃描配置向?qū)А薄?這里提供web應(yīng)用程序和web server的掃描（如果需要web server的掃描必須先下載） 實(shí)例我們顯示使用IBM提供的測試 Web 站點(diǎn)：http:/。使用軟件預(yù)定義的模板， 會自動顯示在“New Scan”對話框中。點(diǎn)擊URL鏈接后的按鈕可以打開APPSCAN瀏覽器查看網(wǎng)站是否可以正常連接v在彈出登錄提示框時，用于登錄這一測試站點(diǎn)的用戶名及密碼為：在彈出登錄提示框時，用于登錄這一測試站點(diǎn)的用戶名及密碼為：v用戶名（用戶名（Username）：）： jsmith v密碼（密碼（Password）：）： Demo1

7、234 選擇適當(dāng)?shù)臏y試策略 完成掃描配置向?qū)?完成配置后啟動掃描專家的話，此時會關(guān)閉向?qū)?，并打開“掃描專家”面板，以評估站點(diǎn)當(dāng)前的配置。自動保存 執(zhí)行你的第一次Web安全掃描任務(wù)。 在執(zhí)行Web安全掃描任務(wù)的過程中，您可以隨時查看已經(jīng)檢測出的Web安全問題。掃描專家評估完成后，會顯示所建議的配置更改核實(shí)表 。這里要注意的是：如果存在用戶輸入的APPSCAN無法執(zhí)行的更改，那么它們的復(fù)選框會顯示成灰色且為未選中狀態(tài)，如果要修改這些更改，單擊更改的鏈接Web安全掃描任務(wù)完成。 “結(jié)果傳家”通常在全面掃描之后自動運(yùn)行，但是它也可以在全面或部分掃描結(jié)果上隨時手動運(yùn)行。如果測試時間有限的話，如果結(jié)果數(shù)量很大的話你可以決定不適用“結(jié)果專家”?！鞍踩珗?bào)告”會提供掃描期間發(fā)現(xiàn)的安全問題信息。1.在工具工具菜單上，單擊報(bào)告報(bào)告，然后選擇安全報(bào)告安全報(bào)告。2.選擇模板：管理綜合報(bào)告、詳細(xì)報(bào)告、修復(fù)任務(wù)、開發(fā)者、QA、站點(diǎn)目錄。 注：可以通過你所需要的內(nèi)容