AppScan安全测试文档

AppScan安全测试（一）——朱晟、徐春梅目录•典型工作流程•安全测试实例——“欧索在线测评平台”典型工作流程1、选择一个扫描模板2、打开配置向导并选择Web应用扫描和Web服务扫描中的一种。3、用向导创建扫描：为应用扫描：为Web服务扫描a.填入开始的URLa.填入WSDL文件位置b.（推荐）手动执行登录指南b.（可选）检测测试策略c.（可选）检测测试策略c.在AppScan录入用户输入和回复时，用自动打开的Web服务探测器接口发送请求到服务端。4、（可选）扫描专家a.打开扫描专家来检查用户为应用扫描配置的效果b.检查提示配置改变并选择合适的。5、开始自动扫描典型工作流程6、检查结果并（必需）：•为没有发现的链接额外执行手工的扫描•打印报告•检测纠正工作*手动扫描1、点“手动检查”：打开浏览器2、了解站点，点击链接填入输入需要的地址3、结束时关闭浏览器：一个检查URL对话框出现4、如果列表符合要求，点击确定目录•典型工作流程•安全测试实例——“欧索在线测评平台”安全测试实例•扫描配置向导•扫描配置•完全扫描扫描配置向导输入URL地址：备注：1、从该URL启动扫描：输入应用程序的URL,扫描会从该URL开始2、要检查输入的“起始URL”是否正确，可以在AppScan浏览器中查看所输入的URL3、区分大小写路径：选中该复选框时（缺省），仅因大小写而有区别的链接将被视为不同的页面。4、其他服务器和域：如果应用程序包含的服务器或域不同于“起始URL”包含的服务器或域，但AppScan许可证包含这些服务器或域，那么您必须将它们添加到此处，以便将它们包含在扫描中。5、我需要配置其他连接设置：缺省情况下AppScan会使用IE代理设置，仅当想要AppScan使用其他代理时选中该复选框。•URL和服务器扫描配置向导选择默认的“记录（推荐）”方式，点击【记录】按钮，AppScan浏览器会打开扫描的启示URL，成功登陆后，关闭该浏览器。备注：1、记录（推荐）：如果选择该选项，AppScan将使用您记录的登录过程，像实际用户一样填充字段并单击链接。这是建议的登录方法。2、提示：如果每次登录都需要人机交互（如验证码），则选择“提示”。在这种情况下，必须仍然记录登录过程，虽然AppScan不会使用记录的过程来尝试登录，但是他需要将该过程作为参考来了解何时已被注销。3、自动：如果AppScan可仅使用名称和密码来登录，而不需要特定的过程，选择该选项，输入“用户名”“密码”。4、无：仅当应用程序不需要登录时，或因为其他原因，不想AppScan登录时，才选择该选项。•登录管理扫描配置向导测试策略选择：Default备注：检查“测试策略”是否适合需要。（如果不能肯定，保持“缺省测试策略”）。•测试策略扫描配置向导备注：•选择以下某个选项：1、启动全面自动扫描：启动应用程序的全面扫描（“探索”后将立即进行“测试”）。2、仅使用自动“探索”启动：探索应用程序，但不继续“测试”阶段（可以稍后运行“测试阶段”）。3、使用“手动探索”启动：会打开浏览器，可以单击链接并填充字段，以手动探索站点。AppScan将记录结果，以便在“测试”阶段使用。4、我将稍后启动扫描：关闭向导，不启动扫描。下次启动扫描时，会使用该模板。•完成“扫描配置向导”后启动“扫描专家”：（只有已选择前三个扫描选项之一时，该复选框才是活动的）如果希望“扫描专家”主扫描启动前评估配置，选择该复选框。选择“启动全面自动扫描”，勾选中“完成‘扫描配置向导’后启动‘扫描专家’”。•完成安全测试实例•扫描配置向导•扫描配置•完全扫描扫描配置•在很多缺省选项都不需要更改时，“扫描配置向导”是配置和启动扫描的最简单方法。但是，如果需要更改高级选项，那么要使用“扫描配置”。•扫描配置对话框会提供配置扫描的很多选项，通过“扫描配置向导”也可获得主要的选项。•在工具栏上，单击扫描配置图标或者单击“扫描配置向导”左下角的“完全扫描配置”链接，即可打开扫描配置界面。扫描配置备注：•URL和服务器，登录管理测试策略与扫描配置向导中内容相近，这里不需要再重新配置了。扫描配置•环境定义备注：1、环境定义并不重要，但是可以使AppScan在扫描期间以安全的方式避免发送无关测试，使得扫描更加迅速和精确。2、每个选项可以选择多项。扫描配置•排除路径和文件备注：1、可以配置AppScan以忽略应用程序中某些路径或文件的特定类型。但是应该谨慎应用排除，因为它们可能具有重要问题。2、可以通过将URL(可能包括查询的完整路径)或“正则表达式”添加到排除或包括路径列表，来过滤“探索”阶段的作用域。3、可以配置AppScan以忽略扫描期间的特定文件类型。例如，如果排除了图形文件，那么扫描将会运行得更快，但是应该谨慎使用排除文件。扫描配置•探索选项备注：1、“扫描限制”确定AppScan探索应用程序的深度（或速度）2、“JavaScript”和“Flash”选项确定AppScan应该忽略还是扫描这些脚本3、“探索方法”确定继续下一个页面之前AppScan是探索页面上的所有链接，还是探索它所找到的每个新链接。扫描配置•参数和cookie备注：1、用于管理由AppScan从应用程序所接收到的参数和cookie的全局列表，以及自己的定制参数。2、“探索”阶段，AppScan自动检测可能是会话标识的cookie和HTML参数，并将其添加到此列表。可以手动添加知道是会话标识的cookie和参数。3、应用程序可能具有某些参数和cookie,如果测试期间，不希望AppScan控制他们的值，要确保AppScan没有更改这些参数和cookie，请从测试中排除。扫描配置•自动表单填充备注：1、自动表单填充是指AppScan填充应用程序中的表单所用的值。许多表单存在缺省值，并且这些值会自动更新以包含在“记录的登录”期间输入的任何值。扫描配置•多步骤操作备注：1、应用程序某些部分只能通过按特定顺序发送请求才能达到的情况下使用。2、通过“多步骤操作”，可以记录和管理一个或多个此类序列。学员测评，必须登录后才可以参与，必须考完试后才可以查看测评结果；则必须进行多步骤操作：先登录，在参与考试，考完试后才可以查看测评结果。扫描配置•通信和代理备注：1、超时：设置AppScan等待来自Web服务器的响应的时间限制。2、线程数：如果发现AppScan发出的高速请求使网络或服务器超负载（超出其能力范围），那么减少该数目。安全测试实例•扫描配置向导•扫描配置•完全扫描自动扫描•点击扫描配置界面的【确定】按钮•点击扫描配置向导界面“启动全面自动扫描”，点击【完成】按钮•保存扫描：人才测评.scan•开始：扫描专家评估扫描自动扫描•点击工具栏的按钮，开始完全扫描。谢谢！