appscan使用教程.ppt

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,.,*,母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,母版标题样式,.,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,母版标题样式,.,*,质量保证部 朱晟,APPSCAN,安全测试工具基础,1,.,内容概要,WatchfireAppScan,是业界第一款并且是领先的,web,应用安全测试工具包，也是唯一一个在所有级别应用上提供全面纠正任务的工具。,AppScan,扫描,web,应用的基础架构，进行安全漏洞测试并提供可行的报告和建议。,AppScan,的扫描能力，配置向导和详细的报表系统都进行了整合，简化使用，增强用户效率，有利于安全防范和保护,web,应用基础架构。,在商业安全扫描工具中，提供简体中文支持的，目前也只有,AppScan,一个。,2,.,内容索引,系统需求,安装过程,许可证安装,简单的运行安全测试,3,.,系统需求,4,.,安装,Rational AppScan,“安装向导”会指导您快速简单地完成安装过程。,5,.,许可证安装,由于新版,7.8,以前的产品的旧格式（,.lic,）许可证可以继续用于新版本的,APPSCAN,所以可以使用以下方法进行破解。,解压,AppScan7.8,破解,.rar,你会看到,:patch.exekeygen.exe,如果没有看到,keygen.exe,那肯定被你的杀毒软件给干了,.,解压之前一定要关掉所有杀毒的（包括关闭自动防护）,.,第一步,:,打开,patch.exe-patch-Can not find the file.Search the file?-,是,-(AppScan,安装目录下,),选中,engine_control.dll-OK,第二步,:,打开,keygen.exe-,在第一个框,Team EDGE,输入随便输入如：,keygen-Generate-,当前目录生成,license.lic,第三步：,将自动生成的,license.lic,复制到,APPSCAN,的安装目录下。,第四步：,打开,APPSCAN,程序，单击帮助,-,许可证,-,装入旧格式（,.lic,）许可证,6,.,成功后可以看到显示：,许可证：旧许可,类型：,Enterprise Edition,7,.,安全测试基本工作流程,8,.,扫描的原则,扫描的原则,“,Appscan,全面扫描”包含两个阶段：探索和测试。,探索阶段,在第一个阶段里，,appscan,会通过模仿成,web,用户单击链接并填写表单字段来探索站点（,web,应用程序或,web server,）这就是探索阶段。,探索阶段可以遍历每个,URL,路径，并分析后创建测试点。,测试阶段,“测试”期间，,appscan,会发送它在“探索”阶段创建的成千上万个定制的测试请求，通过你定制好的测试策略分析每个测试的响应，最后根据规则识别应用程序中的安全问题，并排列这些安全问题的风险级别。,9,.,启动,AppScan,应用程序，显示主窗体,尝试,一次简单的安全测试,10,.,菜单栏：涵盖了,AppScan,中的所有可用功能,工具条：常用功能的快捷菜单，如开始扫描、扫描配置、扫描专家等,左上部网站导航视图（应用程序树）：在扫描过程中,AppScan,会按照一定的层次组织显示站点结构图（默认是按照,URL,层次进行组织，用户可以在扫描配置中更改这一设置）,右上部安全问题显示视图（结果列表）：,AppScan,将在此视图中列出检测到的所有安全缺陷,左下部安全问题汇总视图（仪表板）：,AppScan,将在此视图中列出检测到的安全缺陷统计信息,右下部安全问题详细信息视图：此视图的内容与安全问题显示视图相关，用来显示某特定安全问题的详细信息，包括问题介绍、修复建议、测试数据等,11,.,如果你是第一次启动，屏幕中央将会出现一个“欢迎”对话框。在此对话中，您可以点击“入门”链接，查看,IBM Rational AppScan,的“新手入门帮助文档”。,12,.,也可以点击“创建新的扫描”来创建您的第一次,Web,安全扫描任务。,13,.,以下例子将选择“常规扫描”举例，点击右侧预定义模板中的“常规扫描”链接，将出现“扫描配置向导”。这里提供,web,应用程序和,web server,的扫描（如果需要,web server,的扫描必须先下载）,14,.,实例,我们显示使用,IBM,提供的测试,Web,站点：,。使用软件预定义的模板，,会自动显示在“,New Scan”,对话框中。点击,URL,链接后的按钮可以打开,APPSCAN,浏览器查看网站是否可以正常连接,15,.,在弹出登录提示框时，用于登录这一测试站点的用户名及密码为：,用户名（,Username,）：,jsmith,密码（,Password,）：,Demo1234,16,.,选择适当的测试策略,17,.,完成扫描配置向导,完成配置后启动扫描专家的话，此时会关闭向导，并打开“扫描专家”面板，以评估站点当前的配置。,18,.,自动保存,19,.,执行你的第一次,Web,安全扫描任务。,20,.,在执行,Web,安全扫描任务的过程中，您可以随时查看已经检测出的,Web,安全问题。,扫描专家评估完成后，会显示所建议的配置更改核实表。,这里要注意的是：如果存在用户输入的,APPSCAN,无法执行的更改，那么它们的复选框会显示成灰色且为未选中状态，如果要修改这些更改，单击更改的链接,21,.,Web,安全扫描任务完成。,22,.,“结果传家”通常在全面扫描之后自动运行，但是它也可以在全面或部分扫描结果上随时手动运行。如果测试时间有限的话，如果结果数量很大的话你可以决定不适用“结果专家”。,23,.,“安全报告”会提供扫描期间发现的安全问题信息。,1.,在,工具,菜单上，单击,报告,，然后选择,安全报告,。,2.,选择模板：管理综合报告、详细报告、修复任务、开发者、,QA,、站点目录。,注：可以通过你所需要的内容，在右侧树中选择你报告所有体现的内容,3.,从,最低严重性,列表中，选择要包含在报告中的问题最低严重性级别。,4.,点击,保存报告,，自动生成报告；报告提供,PDA,或,WORD,格式的保存。,24,.,25,.,检查您的站点是否处于,XSS,攻击保护的方法,26,.,。,27,.,28,.,29,.,30,.,