1、Appscan掃描問題結(jié)果詳述,朱晟,結(jié)果：安全問題,Rational AppScan 提供了查看和處理掃描結(jié)果的三種方法：“安全問題”、“修復任務”和“應用程序數(shù)據(jù)”。 本部分是討論“安全問題視圖”。 “安全問題”概述 安全問題：應用程序樹 安全問題：結(jié)果列表 安全問題：詳細信息窗格 Manual Test,“安全問題”概述,“安全問題視圖”提供掃描結(jié)果的信息和訪問權(quán)。你可以在高級別查看結(jié)果，或者選擇特定測試或?qū)ο蟛⒃L問更多詳細信息。這些詳細信息包括：咨詢、修訂建議、請求/響應，和引發(fā)問題的測試變體之間的差異。 你可以控制問題的嚴重性，重新發(fā)送測試（可修改可不修改），并基于“問題”創(chuàng)建報告。

2、 在視圖選擇器上單擊安全問題,安全問題：應用程序樹,應用程序樹顯示已掃描的應用程序的文件夾和文件。樹中每個節(jié)點都有一個計數(shù)器，顯示節(jié)點包含多少個問題。 在“應用程序樹”中，您可以： 選擇一個節(jié)點，以過濾在結(jié)果列表中顯示的問題。 使用右鍵單擊菜單來“在瀏覽器中查看”、“手動探索”、“手動測試”、“記錄多步驟操作”、“復制URL”和“從掃描中排除 URL”。 如果你定義了基于內(nèi)容的規(guī)則，那么你可以通過單擊窗格頂部的組合框，在“基于 URL 的”視圖和“基于內(nèi)容的”視圖之間切換,從掃描中排除 URL,通過右鍵單擊并選擇從掃描中排除，“應用程序樹”中的任何 URL 或節(jié)點都可從未來掃描中排除。（要恢復

3、 URL 或節(jié)點，只需再次右鍵單擊并選擇包括在掃描中）。 URL 或節(jié)點從掃描中排除后，它在“應用程序樹”中的圖標上會出現(xiàn)一個 X。,以此方法排除 URL 后，“排除”項將添加到排除或包括路徑列表,安全問題：結(jié)果列表,“結(jié)果列表”顯示與“應用程序樹”中所選節(jié)點相關(guān)的問題。如果選擇“我的應用程序”節(jié)點，那么“結(jié)果列表”將顯示在 Web 應用程序中找到的所有問題。 問題按照“類型”分組。每個“類型”下列出所有 URL。每個 URL 下列出所有問題。（問題的單個變體不顯示在“結(jié)果列表”中，但是可以從“詳細信息”窗格查看。） 樹中每個節(jié)點都有一個嚴重性圖標，指示問題嚴重性；還有一個計數(shù)器，指示找到的該

4、類型問題數(shù)。,可以更改問題排序的方式，也可以控制它們的嚴重性值。 可以將當前不想處理的問題指定為“干擾”，將其從結(jié)果顯示中一并除去，或者顯示為帶有刪除線。,問題狀態(tài)：打開或干擾,如果 AppScan 發(fā)現(xiàn)的特定問題與應用程序無關(guān)（意思是對于你的應用程序，該問題實際上是“錯誤肯定”結(jié)果），例如，某個問題僅存在于開發(fā)環(huán)境中，但不存在于部署環(huán)境中，那么你可以確定將其分類為“干擾”。 標記為干擾的問題有兩種顯示選項：包含在“結(jié)果”列表中但為帶有刪除線的灰色文本、根本未包含在結(jié)果列表中。 要在兩個顯示選項之間切換，單擊查看 顯示標記為“干擾”的問題。 結(jié)果 當選中標記顯示在菜單項旁時，標記為“干擾”的問

5、題將包含到“結(jié)果”列表中，但為帶有刪除線的灰色文本。,重新發(fā)送測試,不運行完整的“全面掃描”或“測試”階段也可以重新發(fā)送測試。例如，如果測試結(jié)果似乎與先前的掃描結(jié)果不一致，那么您可以重新發(fā)送該測試。 在結(jié)果列表上，右鍵單擊節(jié)點。 在出現(xiàn)的菜單上，單擊重新測試。 AppScan發(fā)送包含在所選定節(jié)點中的所有測試請求，此時會將新的結(jié)果添加到結(jié)果列表。,安全問題：詳細信息窗格,詳細信息窗格顯示所選測試的相關(guān)信息，及其所有在結(jié)果列表中所選的變體。 詳細信息窗格含有四個選項卡（單擊選項卡可將其內(nèi)容置于前端）： “問題信息”選項卡 “咨詢”選項卡 “修訂建議”選項卡 請求/響應選項卡,“問題信息”選項卡,在

6、掃描期間，當發(fā)現(xiàn)問題并將其添加到樹中時，“問題信息”選項卡會提供在其他“詳細信息”窗格選項卡上可用的信息摘要。但是，其主要目的在于顯示由結(jié)果專家添加的其他信息。此信息包括針對問題的 CVSS 度量值評分和相關(guān)屏幕快照，這些可以與結(jié)果一起保存并包含在 Word 報告中。,如果在掃描后未運行結(jié)果專家，“問題信息”選項卡將顯示其他三個選項卡上的信息摘要，但是不含附加信息。不過，你可以隨時更新選項卡： 要更新所發(fā)現(xiàn)的所有問題的“問題信息”選項卡，請依次單擊工具 運行掃描專家。 要更新單個問題的“問題信息”選項卡，請打開該問題的請求/響應選項卡，然后選擇創(chuàng)建問題信息。,“問題信息”內(nèi)容,標題： 問題標題

7、，包括 URL、實體和安全風險。 CVSS 度量值評分 ：三個 CVSS 度量值組的圖形說明：基本、臨時和環(huán)境。 提示（黃色框）： 此信息指的是內(nèi)容區(qū)域（下方）并說明在此處出現(xiàn)的圖像或 HTML 中要注意的內(nèi)容。 內(nèi)容（屏幕快照或 HTML 代碼）： 根據(jù)問題，此區(qū)域可能包括一個屏幕快照、兩個供比較的屏幕快照、一個含模擬彈出窗口的屏幕快照或 HTML 代碼。（此內(nèi)容還在選項卡旁通過縮略圖表示。）如果是 HTML，你可以通過單擊內(nèi)容區(qū)域右上角的圖標，將文本換行切換打開和關(guān)閉。 推理（藍色框）： 說明 AppScan 已執(zhí)行的操作及其將此視為問題的原因。 技術(shù)摘要（灰色框）： AppScan 為測

8、試此問題已執(zhí)行的操作及其如何驗證響應的技術(shù)詳細信息。,“咨詢”選項卡,“咨詢”選項卡上的信息會提供有關(guān)所選問題的技術(shù)詳細信息，以及更多信息的引用鏈接。,“咨詢”選項卡內(nèi)容,咨詢選項卡可能會包含下列任一部分： 問題名稱 出現(xiàn)在結(jié)果列表中。 測試描述 測試的類型。如果此描述沒有顯示侵入式，那么測試為非侵入式；它還會顯示測試是應用程序級別還是基礎(chǔ)結(jié)構(gòu)級別。 安全風險 作為應用程序安全風險的問題的說明。 培訓模塊 解釋并說明問題的 Flash 演示。 可能原因 暗示問題在應用程序中的成因。 技術(shù)描述 問題的特定技術(shù)性描述。 受影響產(chǎn)品 可能會受到問題影響的第三方產(chǎn)品。 引用和相關(guān)鏈接 指向更多信息的鏈

9、接。 注：選項對話框（工具 選項）的首選項選項卡會提供對于部分咨詢，會提供簡短的培訓視頻，可以將其嵌入在“咨詢”選項卡中，以供查看咨詢時進行查看。如果需要減小文件大小，請取消選擇此項。,“修訂建議”選項卡,“修訂建議”選項卡上的信息是指為保障 Web 應用程序不會出現(xiàn)所選的特定問題而應完成的具體任務。修訂建議選項卡會顯示修訂所選問題所對應的已知建議。這些解決方案可能是非常復雜的逐步指示信息。,請求/響應選項卡,請求/響應：選項卡提供了關(guān)于測試及其特定變體的信息，這些信息被發(fā)送到你的 Web 應用程序，以發(fā)現(xiàn)應用程序的弱點。一個測試可能有多個變體。 變體與 AppScan 發(fā)送到 Web 應用程

10、序服務器的原始測試請求稍有不同。（AppScan 首先發(fā)送一個合法并遵循應用程序業(yè)務邏輯的請求。然后會再發(fā)送相同請求，但是經(jīng)過修改以發(fā)現(xiàn)應用程序如何處理非法或錯誤的請求。每個測試請求可能有多個變體；變體的數(shù)量需要足夠覆蓋擴展 AppScan 數(shù)據(jù)庫中的所有安全規(guī)則。） 例如，發(fā)送一個測試以確保你已對特定參數(shù)實施了用戶輸入規(guī)則。一個變體確保撇號是無效輸入；另一個變體確保不允許使用引號。 變體本身以紅色文本顯示，驗證（表示安全問題存在的響應部分）以黃色突出顯示。 除了大量的解釋信息，請求/響應選項卡還提供高級功能，以理解并使用掃描結(jié)果。,請求/響應選項卡在頂部有其自己的工具欄，在右側(cè)還有兩個選項卡

11、（可通過切換選項卡右上角的屬性按鈕來顯示/隱藏。） 工具欄和選項卡如下所示，并在下表中進行概括。,“變體詳細信息”選項卡,可提供測試的標識、測試變體與原始請求之間的差異，以及 AppScan 認為該結(jié)果表示存在安全問題的原因。 描述：參數(shù)、cookie 或方法的值已更改為不同于原始請求所使用的值。 可在選項卡底部的注釋區(qū)域輸入關(guān)于當前變體的注釋，該注釋將和“掃描”一同保存并包括在報告中。,原始請求/響應 要查看 AppScan 在“探索”階段發(fā)送到你的 Web 應用程序的原始 HTTP 請求，以及你的服務器發(fā)回的響應，請單擊原始。 查看變體 每個測試可以擁有多個相關(guān)變體；每個變體會稍微更改請求

12、，以針對眾多的攻擊技術(shù)來檢查應用程序安全性。 單擊測試。 單擊左右方向按鈕來查看變體請求。 對于發(fā)送的每個變體測試，請求已修改的部分都已用紅色突出顯示。,手動測試,Manual Test 功能允許你發(fā)送自己的測試，并將它們保存為安全問題，并可包含在你的報告中。 只有在 Rational AppScan 已生成當前掃描的測試后，您才可以創(chuàng)建 Manual Test。僅為當前掃描保存 Manual Test。,可以讓 手動測試基于現(xiàn)有測試，或您可以從頭開始創(chuàng)建新的測試。 要基于現(xiàn)有變體創(chuàng)建手動測試，請執(zhí)行以下操作： 在結(jié)果列表上，單擊測試變體，或 在結(jié)果列表上，單擊測試，然后在詳細信息窗格中使用工

13、具欄瀏覽至必需的變體。 打開手動測試對話框： 在工具菜單上，單擊手動測試，或 右鍵單擊在應用程序樹或結(jié)果列表中選定的變體，然后從彈出窗口中手動測試，或 單擊詳細信息窗格中的手動測試按鈕，以獲取選定的變體。 此時會顯示手動測試對話框，將顯示已選定的測試變體的屬性。,測試策略 配置,在主機名/IP 地址字段中，輸入測試將要發(fā)送到的服務器。 在端口字段中，輸入 AppScan 用來連接到服務器的端口。 缺省端口是 80；如果選擇 SSL，那么缺省端口為 443。 如果需要，您可以編輯請求本身。 在選項列表中，單擊您想打開的選項。,單擊發(fā)送。 此時會發(fā)送請求，響應會顯示在響應文本區(qū)域內(nèi)（下部窗格）。 要查看嵌入式瀏覽器