安全测试工具操作要点.doc

Confidential (秘密) 安全测试工具操作 2011.06 Written By *** *****有限公司 ?1996，2011 All Rights Reserved  修订历史记录 文档标识： TW_PROC_TS_303 当前版本： 0.1 当前状态： 草稿 ( 发布日期： 发布 修改历史 日期 版本 作者 修改内容 评审号 变更控制号 2011-06-13 V0.1 邓叶武 创建  1.概述 编写目的 详细介绍安全测试期间需使用的工具，该操作手册配合安全测试规范一起使用。 工具说明 以下是安全测试的部分工具，在安全测试评估过程中很实用，后续可补充更专业的工具。 2. 安全测试工具 2.1 AppScan 2.1.1 工具介绍 IBM AppScan是一个领先的Web应用程序安全测试工具，基于黑盒测试，可自动化Web应用的安全漏洞评估工作，能扫描和检测所有常见的Web应用程序漏洞，如：SQL注入,跨站点脚本攻击等，并提供了扫描,报告和修复建议等功能。 具体信息请参考：/software/awdtools/appscan/ 2.1.2 工具原理 通过模拟Web用户单击链接，爬虫站点应用程序内所有预定的页面和链接，并建立本地副本，得到应用程序内目标脚本，URL,目录,表单，页面,和字段,并分析它所发送的每个请求的响应，查找潜在漏洞的任何指示信息，AppScan接受到可能指示有安全漏洞的响应时，它将自动基于响应创建测试，并通知所需验证规则，同时考虑在确定哪些结果构成漏洞以及所涉及到安全风险的级别时所需的验证规则。 测试将发送它在”探索”阶段创建的上千条定制测试请求。它使用定制 验证规则记录和分析应用程序对每个测试的响应，这些规则即可识别应用程序内的安全问题，又可排列其安全风险级别。 工具原理图： 2.1.3 功能列表 测试类型 输入参数操作 跨站脚本 SQL注入 代码执行 文件包含 脚本源代码检查 CRLF注入 Cross Frame Scripting(XFS) PHP代码注入 Xpath注入 全路径泄露 LDAP注入 Cookie操作 文件检查 检查备份的文件及目录 URI中的跨站脚本 检查脚本错误 目录检查 查找常见的文件 发现敏感的文件和目录 发现存在弱权限控制的目录 路径和SESSIONID中的跨站脚本 文本搜索 目录列表 源代码泄露 注释信息搜索 常见文件检查 Email地址收集 本地路径泄露 错误信息 实用操作 共四步操作： 下载AppScan,目前使用的是破解版本,并安装成功； 启动AppScan，点击菜单：文件—新建, 展示界面如下： 说明：以下模板是工具内部模板，只可以在线升级，不可以用户自定义。一般常用模板是总是扫描模板。 选择综合扫描模板，展现界面：选择是Web Service接口扫描，还是扫描应用程序。 4. 点击”下一步”按钮，填入被测系统的URL 点击“下一步“按钮，展示界面：这里是扫描被测系统时，需不需要记录登陆操作的步骤，一般需要记录，因为有些页面，只有登陆后才能被覆盖，点击”记录”按钮， 记录登陆后的页面展示： 点击”下一步”按钮，进入选择策略界面：一般在策略文件中选择Default策略，也可以自定义策略(后续会介绍),取消”发送登陆和注销页面上的测试”的复选框。 点击”下一步”按钮，显示界面： 以上设置完成后，点击”完成”按钮，即可以对被测系统进行扫描测试。但是我们扫描测试时，要考虑具体系统的具体情况，因此还需要考虑如下的配置情况，请接第9步。 在 ” 第7步 ”显示出来的界面上,选择”我将稍后启动扫描”单选钮，目的是进一步的检查或设置配置. 确认配置情况，点击菜单”扫描(扫描配置”,界面展示如下： 其中注意探索选项，自动表单