1、.,1,質(zhì)量保證部朱晟,APPSCAN安全測試工具基礎(chǔ),.,2,內(nèi)容概要,WatchfireAppScan是業(yè)界第一款并且是領(lǐng)先的web應(yīng)用安全測試工具包，也是唯一一個在所有級別應(yīng)用上提供全面糾正任務(wù)的工具。AppScan掃描web應(yīng)用的基礎(chǔ)架構(gòu)，進行安全漏洞測試并提供可行的報告和建議。AppScan的掃描能力，配置向?qū)Ш驮敿毜膱蟊硐到y(tǒng)都進行了整合，簡化使用，增強用戶效率，有利于安全防范和保護web應(yīng)用基礎(chǔ)架構(gòu)。在商業(yè)安全掃描工具中，提供簡體中文支持的，目前也只有AppScan一個。,.,3,內(nèi)容索引,系統(tǒng)需求安裝過程許可證安裝簡單的運行安全測試,.,4,系統(tǒng)需求,.,5,安裝Rational

2、AppScan,“安裝向?qū)А睍笇?dǎo)您快速簡單地完成安裝過程。,.,6,許可證安裝,由于新版7.8以前的產(chǎn)品的舊格式（.lic）許可證可以繼續(xù)用于新版本的APPSCAN所以可以使用以下方法進行破解。解壓AppScan7.8破解.rar你會看到:patch.exekeygen.exe如果沒有看到keygen.exe那肯定被你的殺毒軟件給干了.解壓之前一定要關(guān)掉所有殺毒的（包括關(guān)閉自動防護）.第一步:打開patch.exe-patch-Cannotfindthefile.Searchthefile?-是-(AppScan安裝目錄下)選中engine_control.dll-OK第二步:打開keyge

3、n.exe-在第一個框TeamEDGE輸入隨便輸入如：keygen-Generate-當前目錄生成license.lic第三步：將自動生成的license.lic復(fù)制到APPSCAN的安裝目錄下。第四步：打開APPSCAN程序，單擊幫助-許可證-裝入舊格式（.lic）許可證,.,7,成功后可以看到顯示：許可證：舊許可類型：EnterpriseEdition,.,8,安全測試基本工作流程,.,9,掃描的原則,掃描的原則“Appscan全面掃描”包含兩個階段：探索和測試。探索階段在第一個階段里，appscan會通過模仿成web用戶單擊鏈接并填寫表單字段來探索站點（web應(yīng)用程序或webserver

4、）這就是探索階段。探索階段可以遍歷每個URL路徑，并分析后創(chuàng)建測試點。測試階段“測試”期間，appscan會發(fā)送它在“探索”階段創(chuàng)建的成千上萬個定制的測試請求，通過你定制好的測試策略分析每個測試的響應(yīng)，最后根據(jù)規(guī)則識別應(yīng)用程序中的安全問題，并排列這些安全問題的風險級別。,.,10,啟動AppScan應(yīng)用程序，顯示主窗體,嘗試一次簡單的安全測試,.,11,菜單欄：涵蓋了AppScan中的所有可用功能工具條：常用功能的快捷菜單，如開始掃描、掃描配置、掃描專家等左上部網(wǎng)站導(dǎo)航視圖（應(yīng)用程序樹）：在掃描過程中AppScan會按照一定的層次組織顯示站點結(jié)構(gòu)圖（默認是按照URL層次進行組織，用戶可以在掃描

5、配置中更改這一設(shè)置）右上部安全問題顯示視圖（結(jié)果列表）：AppScan將在此視圖中列出檢測到的所有安全缺陷左下部安全問題匯總視圖（儀表板）：AppScan將在此視圖中列出檢測到的安全缺陷統(tǒng)計信息右下部安全問題詳細信息視圖：此視圖的內(nèi)容與安全問題顯示視圖相關(guān)，用來顯示某特定安全問題的詳細信息，包括問題介紹、修復(fù)建議、測試數(shù)據(jù)等,.,12,如果你是第一次啟動，屏幕中央將會出現(xiàn)一個“歡迎”對話框。在此對話中，您可以點擊“入門”鏈接，查看IBMRationalAppScan的“新手入門幫助文檔”。,.,13,也可以點擊“創(chuàng)建新的掃描”來創(chuàng)建您的第一次Web安全掃描任務(wù)。,.,14,以下例子將選擇“常規(guī)

6、掃描”舉例，點擊右側(cè)預(yù)定義模板中的“常規(guī)掃描”鏈接，將出現(xiàn)“掃描配置向?qū)А薄＿@里提供web應(yīng)用程序和webserver的掃描（如果需要webserver的掃描必須先下載）,.,15,實例,我們顯示使用IBM提供的測試Web站點：。使用軟件預(yù)定義的模板，會自動顯示在“NewScan”對話框中。點擊URL鏈接后的按鈕可以打開APPSCAN瀏覽器查看網(wǎng)站是否可以正常連接,.,16,在彈出登錄提示框時，用于登錄這一測試站點的用戶名及密碼為：用戶名（Username）：jsmith密碼（Password）：Demo1234,.,17,選擇適當?shù)臏y試策略,.,18,完成掃描配置向?qū)瓿膳渲煤髥訏呙鑼＜业?/p>

7、話，此時會關(guān)閉向?qū)В⒋蜷_“掃描專家”面板，以評估站點當前的配置。,.,19,自動保存,.,20,執(zhí)行你的第一次Web安全掃描任務(wù)。,.,21,在執(zhí)行Web安全掃描任務(wù)的過程中，您可以隨時查看已經(jīng)檢測出的Web安全問題。掃描專家評估完成后，會顯示所建議的配置更改核實表。這里要注意的是：如果存在用戶輸入的APPSCAN無法執(zhí)行的更改，那么它們的復(fù)選框會顯示成灰色且為未選中狀態(tài)，如果要修改這些更改，單擊更改的鏈接,.,22,Web安全掃描任務(wù)完成。,.,23,“結(jié)果傳家”通常在全面掃描之后自動運行，但是它也可以在全面或部分掃描結(jié)果上隨時手動運行。如果測試時間有限的話，如果結(jié)果數(shù)量很大的話你可以決定不適用“結(jié)果專家”。,.,24,“安全報告”會提供掃描期間發(fā)現(xiàn)的安全問題信息。1.在工具菜單上，單擊報告，然后選擇安全報告。2.選擇模板：管理綜合報告、詳細報告、修復(fù)任務(wù)、開發(fā)者、QA、站點目錄。注：可以通過你所需要的內(nèi)容，在右側(cè)樹中選擇你報告所有體現(xiàn)的內(nèi)容3.從