AppScan安全測試文檔

AppScan安全測試（一）——朱晟、徐春梅目錄典型工作流程安全測試實例——“歐索在線測評平臺”典型工作流程1、選擇一個掃描模板2、打開配置向?qū)Р⑦x擇Web應(yīng)用掃描和Web服務(wù)掃描中的一種。3、用向?qū)?chuàng)建掃描：

為應(yīng)用掃描：為Web服務(wù)掃描a.填入開始的URLa.填入WSDL文件位置b.（推薦）手動執(zhí)行登錄指南b.（可選）檢測測試策略c.（可選）檢測測試策略c.在AppScan錄入用戶輸入和回復(fù)時，用自動打開的Web服務(wù)探測器接口發(fā)

送請求到服務(wù)端。4、（可選）掃描專家a.打開掃描專家來檢查用戶為應(yīng)用掃描配置的效果b.檢查提示配置改變并選擇合適的。5、開始自動掃描典型工作流程6、檢查結(jié)果并（必需）：為沒有發(fā)現(xiàn)的鏈接額外執(zhí)行手工的掃描打印報告檢測糾正工作*手動掃描1、點“手動檢查”：打開瀏覽器2、了解站點，點擊鏈接填入輸入需要的地址3、結(jié)束時關(guān)閉瀏覽器：一個檢查URL對話框出現(xiàn)4、如果列表符合要求，點擊確定目錄典型工作流程安全測試實例——“歐索在線測評平臺”安全測試實例掃描配置向?qū)呙枧渲猛耆珤呙钂呙枧渲孟驅(qū)л斎險RL地址：84:10001/ote.os備注：1、從該URL啟動掃描：輸入應(yīng)用程序的URL,掃描

會從該URL開始2、要檢查輸入的“起始URL”是否正確，可以在AppScan瀏覽器中查看所輸入的URL3、區(qū)分大小寫路徑：選中該復(fù)選框時（缺?。瑑H因大小寫而有區(qū)別的鏈接將被視為不同的頁

面。4、其他服務(wù)器和域：如果應(yīng)用程序包含的服務(wù)器

或域不同于“起始URL”包含的服務(wù)器或域，

但AppScan許可證包含這些服務(wù)器或域，那么

您必須將它們添加到此處，以便將它們包含在

掃描中。5、我需要配置其他連接設(shè)置：缺省情況下AppScan會使用IE代理設(shè)置，僅當(dāng)想要

AppScan使用其他代理時選中該復(fù)選框。URL和服務(wù)器掃描配置向?qū)нx擇默認的“記錄（推薦）”方式，點擊【記錄】按鈕，AppScan瀏覽器會打開掃描的啟示URL，成功登陸后，關(guān)閉該瀏覽器。備注：1、記錄（推薦）：如果選擇該選項，AppScan將使用

您記錄的登錄過程，像實際用戶一樣填充字段并

單擊鏈接。這是建議的登錄方法。2、提示：如果每次登錄都需要人機交互（如驗證

碼），則選擇“提示”。在這種情況下，必須仍

然記錄登錄過程，雖然AppScan不會使用記錄的過

程來嘗試登錄，但是他需要將該過程作為參考來

了解何時已被注銷。3、自動：如果AppScan可僅使用名稱和密碼來登錄，

而不需要特定的過程，選擇該選項，輸入“用戶

名”“密碼”。4、無：僅當(dāng)應(yīng)用程序不需要登錄時，或因為其他原

因，不想AppScan登錄時，才選擇該選項。

登錄管理掃描配置向?qū)呙枧渲孟驅(qū)y試策略選擇：Default備注：檢查“測試策略”是否適合需要。（如果不能肯定，保持“缺省測試策略”）。

測試策略掃描配置向?qū)渥ⅲ哼x擇以下某個選項：1、啟動全面自動掃描：啟動應(yīng)用程序的全面掃

描（“探索”后將立即進行“測試”）。2、僅使用自動“探索”啟動：探索應(yīng)用程序，

但不繼續(xù)“測試”階段（可以稍后運行“測

試階段”）。3、使用“手動探索”啟動：會打開瀏覽器，可

以單擊鏈接并填充字段，以手動探索站點。AppScan將記錄結(jié)果，以便在“測試”階段

使用。4、我將稍后啟動掃描：關(guān)閉向?qū)?，不啟動掃描?/p>

下次啟動掃描時，會使用該模板。完成“掃描配置向?qū)А焙髥印皰呙鑼＜摇保?/p>

（只有已選擇前三個掃描選項之一時，該復(fù)選

框才是活動的）如果希望“掃描專家”主掃

描啟動前評估配置，選擇該復(fù)選框。選擇“啟動全面自動掃描”，勾選中“完成‘掃描配置向?qū)А髥印畳呙鑼＜摇薄?/p>

完成安全測試實例掃描配置向?qū)呙枧渲猛耆珤呙钂呙枧渲迷诤芏嗳笔∵x項都不需要更改時，“掃描配置向?qū)А笔桥?/p>

置和啟動掃描的最簡單方法。但是，如果需要更改高級選

項，那么要使用“掃描配置”。掃描配置對話框會提供配置掃描的很多選項，通過“掃描

配置向?qū)А币部色@得主要的選項。在工具欄上，單擊掃描配置圖標(biāo)或者單擊“掃描配

置向?qū)А弊笙陆堑摹巴耆珤呙枧渲谩辨溄樱纯纱蜷_掃描

配置界面。掃描配置備注：URL和服務(wù)器，登錄管理測試策略與

掃描配置向?qū)е袃?nèi)容相近，這里不需

要再重新配置了。掃描配置環(huán)境定義備注：1、環(huán)境定義并不重要，但是可

以使AppScan在掃描期間以

安全的方式避免發(fā)送無關(guān)測

試，

使得掃描更加迅速和

精確。2、每個選項可以選擇多項。掃描配置排除路徑和文件備注：1、可以配置AppScan以忽略應(yīng)用程

序中某些路徑或文件的特定類

型。但是應(yīng)該謹(jǐn)慎應(yīng)用排除，

因為它們可能具有重要問題。2、可以通過將URL(可能包括查詢

的完整路徑)或“正則表達式”

添加到排除或包括路徑列表，

來過濾“探索”階段的作用域。3、可以配置AppScan以忽略掃描期

間的特定文件類型。例如，如

果排除了圖形文件，那么掃描

將會運行得更快，但是應(yīng)該謹(jǐn)

慎使用排除文件。掃描配置點擊排除路徑中的“+”按鈕

例如該系統(tǒng)中“我的消息”模塊已經(jīng)側(cè)過了，則將我的消息排除在外，掃描時就不會掃描此界面。掃描配置探索選項

備注：1、“掃描限制”確定AppScan探索應(yīng)

用程序的深度（或速度）2、“JavaScript”

和“Flash”選項確

定AppScan應(yīng)該忽略還是掃描這些

腳本3、“探索方法”確定繼續(xù)下一個頁面

之前AppScan是探索頁面上的所有

鏈接，還是探索它所找到的每個新

鏈接。掃描配置參數(shù)和cookie備注：1、用于管理由AppScan從應(yīng)用程序所接

收到的參數(shù)和cookie的全局列表，

以及自己的定制參數(shù)。2、“探索”階段，AppScan自動檢測可

能是會話標(biāo)識的cookie和HTML參數(shù)，

并將其添加到此列表?？梢允謩犹?/p>

加知道是會話標(biāo)識的cookie和參數(shù)。3、應(yīng)用程序可能具有某些參數(shù)和cookie,如果測試期間，不希望AppScan控制他們的值，要確保AppScan沒有更改這些參數(shù)和cookie，

請從測試中排除。掃描配置自動表單填充備注：1、自動表單填充是指AppScan填充應(yīng)用程序中的表單所用的值。許多表單存在缺省值，并且這些值會自動更新以包含在“記錄的登錄”期間輸入的任何值。掃描配置多步驟操作備注：1、應(yīng)用程序某些部分只能通過按特定順序發(fā)送請求才能達到的情況下使用。2、通過“多步驟操作”，可以記錄和管理一個或多個此類序列。學(xué)員測評，必須登錄后才可以參與，必須考完試后才可以查看測評結(jié)果；則必須進行多步驟操作：先登錄，在參與考試，考完試后才可以查看測評結(jié)果。掃描配置1、點擊開始按鈕選擇：記錄（不登錄）。2、AppScan瀏覽器打開，參照（登錄），進行登錄。3、登錄后，點擊【我的測評】

點擊試卷“創(chuàng)新意識測試”試卷，開始考試。掃描配置4、點擊【點擊開始測評】按鈕，開始考試。5、考完試后，點擊提交按鈕。6、點擊【測評結(jié)果】查看考試結(jié)果。掃描配置7、關(guān)閉AppScan瀏覽器，返回掃描配置界面。查看序列列表。

掃描配置通信和代理備注：1、超時：設(shè)置AppScan等待來自Web服務(wù)器的響應(yīng)的時間限制。2、線程數(shù)：如果發(fā)現(xiàn)AppScan發(fā)

出的高速請求使網(wǎng)絡(luò)或服務(wù)器

超負