Rational AppScanWeb应用软件安全性测试工具的初步认识.docVIP

AppScan 学习参考内容 /ceshi/ceshijishu/rjcsgj/rational/appscan/ Rational AppScan 是专门面向 Web 应用安全检测的自动化工具，是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具。它不但可以简化企业发现和修复 Web 应用安全隐患的过程（这些工作以往都是由人工进行，成本相对较高，效率低下），还可以根据发现的安全隐患，提出针对性的修复建议，并能形成多种符合法规、行业标准的报告，方便相关人员全面了解企业应用的安全状况。 利用 Rational AppScan，应用程序开发团队在项目交付前，可以对所开发的应用程序与服务进行安全缺陷的扫描，自动化检测 Web 应用的安全漏洞，从网站开发的起始阶段就扫除 Web 应用安全漏洞。 Rational AppScan 工作原理 　　Rational AppScan(简称 AppScan)其实是一个产品家族，包括众多的应用安全扫描产品，从开发阶段的源代码扫描的 AppScan source edition【从代码开始使用复合技术保证 Web 应用安全】，到针对 Web 应用进行快速扫描的 AppScan standard edition【桌面解决方案扫描和测试漏洞和安全缺陷】，以及进行安全管理和汇总整合的 AppScan enterprise Edition【将先进的应用程序安全测试与整个应用程序生命周期中的治理、协作和安全性智能相结合。它使企业能够降低应用程序风险，控制应用程序项目成本】 等。我们经常说的 AppScan 就是指的桌面版本的 AppScan，即 AppScan standard edition。其安装在 Windows 操作系统上，可以对网站等 Web 应用进行自动化的应用安全扫描和测试。 　　来张 AppScan 的截图，用图表说话，更明确。 ▲图 1. AppScan 标准版界面 　　请注意右上角，单击“扫描”下面的小三角，可以出现如下的三个选型“继续完全扫描”、“继续仅探索”、“继续仅测试”，有木有?什么意思?理解了这个地方，就理解了 AppScan 的工作原理，我们慢慢展开： 　　还没有正式开始安全测试之前，所以先不管“继续”，直接来讨论“完全扫描”，“仅探索”，“仅测试”三个名词： 　　AppScan 三个核心要素 　　AppScan 是对网站等 Web 应用进行安全攻击来检查网站是否存在安全漏洞;既然是攻击，需要有明确的攻击对象吧，比如现在的对象就是卡扎菲上校还有他的军队。对网站来说，一个网站存在的页面，可能成千上万。每个页面也都可能存在多个字段(参数)，比如一个登陆界面，至少要输入用户名和密码吧，这就是一个页面存在两个字段，你提交了用户名密码等登陆信息，网站总要有地方接受并且检查是否正确吧，这就可能存在一个新的检查页面。这里的每个页面的每个参数都可能存在安全漏洞，所有都是被攻击对象，都需要来检查。 　　这就存在一个问题，我们来负责检查一个网站的安全性，这个网站有多少个页面，有多少个参数，页面之间如何跳转，我们可能并不明确，如何知道这些信息?看起来很复杂，盘根错节;那就更需要找到那个线索，提纲挈领;想一想，访问一个网站的时候，我们需要知道的最重要的信息是哪个?网站主页地址吧?从网站地址开始，很多其他频道，其他页面都可以链接过去，对不对，那么可不可以有种技术，告诉了它网站的入口地址，然后它“顺藤摸瓜”，找出其他的网页和页面参数?OK，这就是“爬虫”技术，具体说，是“网站爬虫”，其利用了网页的请求都是用 http 协议发送的，发送和返回的内容都是统一的语言 HTML，那么对 HTML 语言进行分析，找到里面的参数和链接，纪录并继续发送之，最终，找到了这个网站的众多的页面和目录。这个能力 AppScan 就提供了，这里的术语叫“探索”，explorer，就是去发现，去分析，了解未知的，并记录之。 　　在使用 AppScan 的时候，要配置的第一个就是要检查的网站的地址，配置了以后，AppScan 就会利用“探索”技术去发现这个网站存在多少个目录，多少个页面，页面中有哪些参数等，简单说，了解了你的网站的结构。 　　“探索”了解了，测试的目标和范围就大致确定了，然后呢，利用“军火库”，发送导弹，进行安全攻击，这个过程就是“测试”;针对发现的每个页面的每个参数，进行安全检查，检查的弹药就来自 AppScan 的扫描规则库，其类似杀毒软件的病毒库，具体可以检查的安全攻击类型都在里面做好了，我们去使用即可。 　　那么什么是“完全测试呢”，完全测试就是把上面的两个步骤整合起来，“探索”+“测试”;在安全测试过程中，可以先只进行探索，不进行测试，目的是了解被测的网站结构，评估