目录
一.介绍
二.3个核心要素
三.下载与安装
3.1下载
3.2安装
四.Web端简单用法
五.扫描设置
5.1登录管理
5.2环境定义
5.3排除路径和文件
5.4探索选项
5.5通信和代理
5.6测试策略与测试选项
六.生成报告
6.1查看结果
6.2 生成pdf报告
七.其它
7.1正则表达式示例
七.APP简单用法
7.1选择外部设备
7.2电脑开启wifi
7.3记录代理
7.4手机下载SSL证书(为了访问https开头的域名)
一.介绍
AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。
我们经常说的 AppScan 就是指的桌面版本的 AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。
二.3个核心要素
- 通过搜索(爬行)发现整个 Web 应用结构
- 根据分析,发送修改的 HTTP Request 进行攻击尝试(扫描规则库)
- 通过对于 Respone 的分析验证是否存在安全漏
“扫描规则库”,“探索”,“测试”就构成了 AppScan 的核心三要素。而在安全扫描过程中,如何进行优化,就要结合这三个要素,看哪些部分需要优化,应该如何优化。
三.下载与安装
3.1下载
IBM Appscan9.0.3下载地址:http://pan.baidu.com/s/1slmcHzR 密码: xtyf
3.2安装
1.直接点击AppScan_Std_9.0.3.5_Eval_Win.exe安装
2.安装成功之后把LicenseProvider.dll拷贝到AppScan安装目录。覆盖原来的LicenseProvider.dll
3.比如我的目录是C:\Program Files (x86)\IBM\AppScan Standard
四.Web端简单用法
1.双击IBM Security AppScan Standard后弹出窗口:
2.点击 创建新的扫描 -> 点击”常规扫描“,会看到如下图:
3.点击完全扫描配置,可以在此进行配置,也可以点击下一步,根据向导进行配置,我们点击下一步:
4.点击下一步,进入登录管理配置,因为有些页面需要登录后 才能做有效的扫描,这里记录的是登录所需信息,便于扫描时能登录应用程序。总共有4种方法,比较常用的是“记录”和“自动”。
记录: 点击“记录”按钮,进行录制登录操作。操作类似于用LR做脚本录制。
自动:输入用户名和密码,扫描时会自动根据这个凭证登录应用程序。
5.选择一种测试策略(本例以完成为例):测试策略说明:
- 缺省值:包含多种测试,但不包含侵入式和端口侦听器
- 仅应用程序:包含所有应用程序级别的测试,但不包含侵入式和端口侦听器
- 基础结构:包含所有基础结构级别的测试,但不包含侵入式和端口侦听器
- 侵入式:包含所有侵入式测试(可能影响服务器稳定性的测试)
- 完成:包含所有的AppScan测试
- 关键的少数:包含一些成功可能性较高的测试精选,在时间有限时对站点评估可能有用
- 开发者精要:包含一些成功可能性极高的应用程序测试的精选,在时间有限时对站点评估可能有用
6.AppScan 的扫描分三类:完全扫描、仅探索、仅测试
- 如果系统需要扫描的页面或是元素较少可以直接选中完全扫描(其实就是探索和测试一条龙服务)
- 如果页面需要扫描的页面和元素比较多时,可以分开来,先探索,探索完成后再进行测试。
- 探索也就是扫描出整个系统的基本结构和页面。
- 测试就是根据你所配置的信息如测试策略、深度等等对页面中的元素进行测试,从而得出安全性问题
- 如果只是对系统中某个模板进行扫描的话,可以通过“手动探索”获取需要扫描的指定页面
7.扫描:点击 完成 后 如果勾选了 扫描专家 ,会先启动 扫描专家 进行扫描优化(我比较烦这个,所以不勾选),就直接进入扫描了。
五.扫描设置
5.1登录管理
5.2环境定义
可以不进行更改,直接默认就好:
5.3排除路径和文件
有需要的排除的路径和文件可以在这里添加。对于那些无关紧要的网址可以在这边排除掉。
5.4探索选项
5.5通信和代理
5.6测试策略与测试选项
在测试策略中,有多种不同的分组模式,最经常使用的是“严重性”,“类型”,“侵入式”、“WASC 威胁分类”等标准,根据不同分组选择的扫描策略,最后组成一个共同的策略集合。
六.生成报告
6.1查看结果
点击右上角的问题,查看检测出的问题、严重性以及产生的原因:
6.2 生成pdf报告
点击报告,勾选要导出的字段,筛选信息,生成报告,会生成pdf文件:
七.其它
7.1正则表达式示例
- http://xx.xx.com.cn/forum-15580.html 正则表达式:.*forum-\d+.html
- http://xx.xx.com.cn/bbs6/forum-16071-2.html 正则表达式:.*forum-\d+-+\d+.html
- http://xx.xx.com.cn/bbs6/pick_101-16260.html 正则表达式:.*pick_\d+-+\d+.html
- http://xx.xx.com.cn/bbs6/type_g539fg521b-16071.html 正则表达式:type[_a-z0-9]+-+\d+.html
- http://xx.xx.com.cn/bbs6/forum-16260_postat.html 正则表达式:forum-\d+_+postat+.html
- http://xx.xx.com.cn/bbs6/forum-16071-10_replyat.html 正则表达式:forum-\d+-+\d+_+replyat+.html
- http://xx.xx.com.cn/bbs6/time_0-16071-4.html 正则表达式:.*time_\d+-+\d+-+\d+.html
- http://xx.xx.com.cn:8002/price/q-p1.html 正则表达式:q+-+[a-z]\d+.html
七.APP简单用法
7.1选择外部设备
7.2电脑开启wifi
电脑开启wifi,然后手机连上此wifi
7.3记录代理
设置好后,电脑会收到手机的传入连接
在选项中的记录代理中生成一条白名单
7.4手机下载SSL证书(为了访问https开头的域名)
手机打开浏览器,输入http://appscan,下载证书
