AppScan安全测试(一).ppt

AppScan安全测试（一） ——朱晟、徐春梅 目录 典型工作流程 安全测试实例——“欧索在线测评平台” 典型工作流程 1、选择一个扫描模板 2、打开配置向导并选择Web应用扫描和Web服务扫描中的一种。 3、用向导创建扫描： 为应用扫描： 为Web服务扫描 a.填入开始的URL a.填入WSDL文件位置 b.（推荐）手动执行登录指南 b.（可选）检测测试策略 c.（可选）检测测试策略 c.在AppScan录入用户输入和回复时， 用自动打开的Web服务探测器接口发 送请求到服务端。 4、（可选）扫描专家 a.打开扫描专家来检查用户为应用扫描配置的效果 b.检查提示配置改变并选择合适的。 5、开始自动扫描 典型工作流程 6、检查结果并（必需）： 为没有发现的链接额外执行手工的扫描 打印报告 检测纠正工作 *手动扫描 1、点“手动检查”：打开浏览器 2、了解站点，点击链接填入输入需要的地址 3、结束时关闭浏览器：一个检查URL对话框出现 4、如果列表符合要求，点击确定 目录 典型工作流程 安全测试实例——“欧索在线测评平台” 安全测试实例 扫描配置向导 扫描配置 完全扫描 扫描配置向导 输入URL地址：84:10001/ote.os 备注： 1、从该URL启动扫描：输入应用程序的URL,扫描 会从该URL开始 2、要检查输入的“起始URL”是否正确，可以在 AppScan浏览器中查看所输入的URL 3、区分大小写路径：选中该复选框时（缺省）， 仅因大小写而有区别的链接将被视为不同的页 面。 4、其他服务器和域：如果应用程序包含的服务器 或域不同于“起始URL”包含的服务器或域， 但AppScan许可证包含这些服务器或域，那么 您必须将它们添加到此处，以便将它们包含在 扫描中。 5、我需要配置其他连接设置：缺省情况下 AppScan会使用IE代理设置，仅当想要 AppScan使用其他代理时选中该复选框。 URL和服务器 扫描配置向导 选择默认的“记录（推荐）”方式，点击【记录】按钮，AppScan浏览器会打开扫描的启示URL，成功登陆后，关闭该浏览器。 备注： 1、记录（推荐）：如果选择该选项，AppScan将使用 您记录的登录过程，像实际用户一样填充字段并 单击链接。这是建议的登录方法。 2、提示：如果每次登录都需要人机交互（如验证 码），则选择“提示”。在这种情况下，必须仍 然记录登录过程，虽然AppScan不会使用记录的过 程来尝试登录，但是他需要将该过程作为参考来 了解何时已被注销。 3、自动：如果AppScan可仅使用名称和密码来登录， 而不需要特定的过程，选择该选项，输入“用户 名”“密码”。 4、无：仅当应用程序不需要登录时，或因为其他原 因，不想AppScan登录时，才选择该选项。 登录管理 扫描配置向导 扫描配置向导 测试策略选择：Default 备注： 检查“测试策略”是否适合需要。（如果不能肯定，保持“缺省测试策略”）。 测试策略 扫描配置向导 备注： 选择以下某个选项： 1、启动全面自动扫描：启动应用程序的全面扫 描（“探索”后将立即进行“测试”）。 2、仅使用自动“探索”启动：探索应用程序， 但不继续“测试”阶段（可以稍后运行“测 试阶段”）。 3、使用“手动探索”启动：会打开浏览器，可 以单击链接并填充字段，以手动探索站点。 AppScan将记录结果，以便在“测试”阶段 使用。 4、我将稍后启动扫描：关闭向导，不启动扫描。 下次启动扫描时，会使用该模板。 完成“扫描配置向导”后启动“扫描专家”： （只有已选择前三个扫描选项之一时，该复选 框才是活动的）如果希望“扫描专家”主扫 描启动前评估配置，选择该复选框。 选择“启动全面自动扫描”，勾选中“完成‘扫描配置向导’后启动‘扫描专家’”。 完成 安全测试实例 扫描配置向导 扫描配置 完全扫描 扫描配置 在很多缺省选项都不需要更改时，“扫描配置向导”是配 置和启动扫描的最简单方法。但是，如果需要更改高级选 项，那么要使用“扫