AppScan
| 1 安装 |
| 1.1 AppScan 安装 |
| 将 AppScan 安装保存在计算机中,双击它,然后根据提示操作。 |
| 1.2 注册文件安装 |
| AppScan 安装中包括一个允许扫描指定站点的注册文件(见章节 1.4),但是不能扫 描其他站点。扫描其他站点需要得到 IBM 授予的合法注册文件。这样就可以扫描其 他站点并读取和保存扫描模版,否则不能运行其他站点的扫描。 安装扫描文件: 1. 打开 AppScan 2. 在帮助菜单选择 License 3. 如果已经有注册文件:点 Load License File,找到注册文件,点 Open。 或者 在网上获得注册文件:确认连接好 Internet 网,点 Obtain License Online,然后 根据提示操作 4. 点 ok 关闭注册对话框。 |
| 1.3 升级 |
| IBM 每天升级 AppScan 的应用弱点数据库。每次 AppScan 会自从从 IBM 搜索、安 |
| 装升级补丁。用户也可以随时手动升级:打开 AppScan,点击 |
| 示操作。 |
| 升级,根据提 |
| 1.4 AppScan 的试用版 |
| 如果您在使用 AppScan 的试用版,注册文件只允许您对 IBM Rational AppScan 定制 的测试站点进行测试: |
| AppScan下载: |
| https://www.watchfire.com/securearea/appscan.aspx |
AppScan 功能简介及使用说明
| 测试站点: |
| 用户名: 密码: |
| http://demo.testfire.net/ |
| jsmith demo1234 |
| 2 概述 |
| 2.1 主界面 |
| AppScan 主界面包括一个菜单栏、工具栏和视图选择,还有三个数据窗口:应用树、 结果列表和细节。下图是主界面在进行数据扫描(扫描前三个数据窗口和统计图是 空白的)。 |
| View Selector |
| Application Tree |
| Result List |
| Detail Pane |
| Dashboard |
| 视图选择 |
| 应用树 |
| 选择三个按钮中的一个来选择三个窗口数据显示的类型。 |
| AppScan 收集扫描结果时会把他们显示在应用树中;在扫描 结束时应用树显示所有 AppScan 在应用中找到的文件夹、 URL 和文件。 |
| 显示应用树中被选节点有关的结果。 |
| 显示结果列表中被选项的详细信息,在三个页面分别显示报 告、建议和请求/响应。 |
| 用连续视图的形式显示当前结果。 |
| 结果列表 |
| 细节 |
| 统计图 |
| 2.2 站点扫描的基本原理 |
| AppScan 扫描由两个阶段组成:探测和测试。 探测阶段:AppScan 用模拟人为点击链界和填写表格的方式探测站点(应用或者 Web 服务)。它分析响应,查找潜在弱点的迹象并利用他们创建“测试请求”。 测试阶段:AppScan 在探索期间发送上千个预定的测试请求。记录并分析应用的响 |
| 应,辨别安全问题并排列他们的安全级别。 |
| 2.3 应用 VS Web 服务 |
| AppScan 能够扫描 Web 应用和 Web 服务。 Web 应用:在应用的情况下,它会在开始的 URL 和注册认证方面进行充分的安全 扫描以保证能够测试站点。如果有必要也可以手动运行站点,以扩大安全扫描到只 有用户手动才能涉及到的范围。 Web 服务:在 Web 服务的情况下,IBM 特殊工具“Web Services Explorer”创建一 个简单的界面显示可连接的服务和输入参数及结果。过程是 AppScan 录制和为服务 创建测试。 |
| 2.4 典型流程 |
| 1. 选择一个扫描模板。 2. 打开配置向导并选择 Web 应用扫描和 Web 服务扫描中的一种。 3. 用向导创建扫描: 为应用扫描: a. 填入开始的 URL。 b. (推荐)手动执行登陆指南。 c. (可选)检查测试策略。 为 Web 服务扫描: a. 填入 WSDL 文件位置。 b. (可选)检查测试策略。 c. 在 AppScan 录制用户输入和回复时,用自动打开的 Web 服务探测器借口发 送请求到服务端。 4. (可选)扫描专家 a. 打开扫描专家来检查用户为应用扫描配置的效果。 b. 检查提示配置改变并选择适用的。 注意:你也可以配置扫描专家执行分析,然后在开始扫描时适用一些它的一些 建议。 5. 开始自动扫描。 6. 检查结果并(必需): 为没有发现的链接额外执行手工的扫描 打印报告 检查纠正工作 |
| 3 扫描配置向导 |
| 用配置向导指导涉及到应用扫描配置的质量。为高级配置方式和 Web 服务扫描配置 的详细资料有关的 AppScan 用户指导或在线帮助。 |
| 配置扫描: 1. 开始 AppScan 出现的欢迎屏幕 |
| 2. 点击创建新扫描(Create New Scan) 打开的新扫描对话框。 |
| 3. 在预先确定的模板区域内,点“Default”来使用默认模板。(如果使用 AppScan 扫描 一些有规定模板的站点,请选择那个模板:Demo.Testfire,Fvoundstone 或者 WebGoat。) 扫描配置向导欢迎。 注意:如果 AppScan 已经打开,可以通过点击“New”启动向导,然后点击“OK”。 4. 选择 Web 应用扫描“Web Application Scan”然后点“Next”执行三个步骤中的第一个 。 5. 在起始 URL 框中填入应用的 URL。 |
| 6. 7. |
| 8. |
| 9. 10. 11. |
| 12. |
| 13. 14. |
| 15. |
| 16. |
| 注意:如果需要添加另外的服务器或域点击“Advanced”按钮。 点击“Next”进行向导的第二步。 在单选按钮中选择录制注册“Recorded Login”,然后点击“New”。 显示出一个描述步骤的信息。 点击“OK”。 在交点离开录制按钮的同时浏览器打开。 浏览器打开到注册页面,录制一段正规的注册流程,然后关闭浏览器。 在会话信息对话框中,检查注册流程,然后点击“OK”。 点击“Next”执行向导中的第三步。 在这一步中需要检查扫描运用的测试策略(比如用的哪一种扫描类别)。 注意:系统默认所有非侵入性测试将被执行。 注意:使用“Advanced”按钮可以控制其他的测试选项,包括特殊增加(对没有足 够权限的用户容易涉及到的保密资源范围进行测试)和多项扫描。 在检查框默认选择“In Session Detection”,测试信息中响应是“in-session”的会突出 显示。在扫描过程中,AppScan 发送心跳信息请求,检查这个测试的响应来确定它是 否登陆(有必要的话重新登陆)。检查测试突出是否是正式会话的真实证据。 点击“Next”。 选择适当的单选按钮开始自动扫描(开始全面自动扫描) 和手动检查同时或延后,(只 有在点击工具栏上开始按钮的图表后才开始)。 (可选)当用户结束向导时默认选择扫描专家检查栏以便启动扫描专家。用户也可以 清除此项进入扫描步骤。 点击“Finish”关闭向导。 |
| 4 扫描专家 |
| 当完整的运行过扫描向导之后,用户可以使用扫描专家运行一个简短的扫描来评估 一下新配置对用户指定应用的工作效率。 扫描专家栏在界面中打开,当扫描专家检查站点时应用树在应用拦中显示。 |
| 在短暂评估结束的时候,扫描专家建议用户改变成能够适用的配置。 |
| 用户可以查看这些意见并选择接受或者拒绝,或者自动选择更改。 注意:有些更改扫描专家只有在手动操作下才会适用,所以当用户选择自动选择时 , 有些建议可能不适用。 |
| 5 执行扫描 |
| 当扫描开始,进度栏(在界面上部显示)和状态栏(在界面的下部显示)提供扫描 的详细资料,并且应用树和结果列表随执行进度实时显示。 |
| 5.1 进度栏 |
| 进度栏跟踪扫描的阶段(顶部右边),扫描的 URL 和参数(底部左边)。 |
| 如果在扫描的过程中发现新的链接(或者多相扫描被激活)一个新增的扫描阶段在 前一个阶段结束后自动开始。在新的链接扫描开始后新阶段可能比前一阶段短很多, 特别注意进度栏中可能也显示发现的问题(甚至服务器停止“Server Down”)。 扫描完成时进度栏关闭。 |
| 5.2 状态栏摘要 |
| 状态栏在界面的底部,显示当前运行扫描读取的详细信息(实时显示)。 |
| 注意:当 AppScan 发现新链接的时候,扫描显示测试的总数或者被访问 URL 数量 可能会增加。 |
| 6 结果 |
| 结果在三个视图中显示。通过视图选择上的按钮选择视图(默认为问题视图)。这三 个视图中显示的数据会随选择的视图不同而改变。 |
| 从宏观到特定的请求/响应显示发现的实际问题。 应用树:完整应用树。计数器显示每一项所发现的问 题数。 结果列表:显示所选树中节点的问题列表。显示问题 的优先级别。 详细资料栏:显示在结果列表上所选问题的顾问信息、 修改建议、请求/响应(包括一些多样的)。 |
| 提供一个修改扫描中发现问题的详细修改意见表。 应用树:完整应用树。计数器显示每一项所提供的修 改意见数。 结果列表:列出树中所选节点的意见列表。显示意见 的优先级别。 |
| 安全 问题 视图 |
| 修改 工作 视图 |
| 详细资料栏:显示结果栏中所选择修改意见和的详细 资料和问题的详细分析。 |
| 显示检查执行期间的脚本参数、交互的 URL、访问的 URL、错误链接、过滤 URL、注释、Java 脚本和控件。 应用树:完整应用树。 结果列表:对结果列表栏上面可选列表进行过滤,以 确定显示哪一项的详细信息。 详细资料栏:结果列表中所选项的详细信息。 |
| 应用 数据 |
| 严重等级 结果列表会显示应用树中所选择节点的问题。这些可以是: 基本级(显示所有站点问题) 页面级(显示所有页面问题) 参数级(显示所有特定页面特定请求的问题) AppScan 给每一个发现的问题分配四个严重等级中的一个: |
| 高严重级别 |
| 中严重级别 |
| 低严重级别 |
| 报告安全问题 注意:这一类只适用于窗口问题。在修正窗口所有比中严重级别低的都属于 低严重级别。 |
| 注意:分配给问题的严重等级可以手动更改。 |
| 6.1 安全问题 |
| 在安全问题窗口,被选择的问题弱点的详细资料显示在资料栏。详细信息显示在三 个选择页中: |
| Advisory Tab |
| Fix Recommendations |
| Request/Response |
| 报告 |
| 修改建议 |
| 请求/响应 |
| 显示 AppScan 报告,一般包括:测试名称、 安全风险、原因、影响、技术描述和参考。 |
| 显示 AppScan 对问题的修改意见。 |
| 显示 AppScan 向应用发送的测试请求和得 到的回复(以浏览器或者 HTML 形式查看)。 多样的:如果有另类的(向相同 URL 发送 的不同参数),它可以通过点击页面上的 “and”按钮查看。用户通过三个选择页的 右边查看多样的详细信息,可以在扫描结果 中添加标注或注释。 |
| 6.2 修改工作 |
| 选择的 URL 或参数的修改工作在详细信息栏中的修改工作视图中显示。 |
| 6.3 应用数据 |
| 应用数据要保证可用,即使 AppScan 只完成了检查阶段。 用结果列表顶端的可选列表过滤数据。 |
| 7 报告 |
| 工具栏上的报告图标使用户可以选择三种报告模板之一,并且设置生成报告模板的 内容和布局。 |
| 扫描中发现的安全问题报告。有五个可选项: 概要:图表和表格形式的统计概要。 细节:在概要中增加所有细节。 修改:要求修改的工作列表一决定发现的问题。 开发:问题列表,修改工作和应用资料。 QA:报告列表和修改建议,应用资料和访问的 URL。QA 站点清单:站点列表和应用资料。 |
| 为使用所选择的行业委员会标准的用户提供其内容(比如 OWASP Top10、SANS Top 20、WASC 等 )。 如果有必要用户可以创建并根据自己习惯检查标准检查列表(详 见用户指导)。 |
| 为使用在规则或者官方标准中选择标准的用户提供其内容(比如 HIPAA、GLBA、COPPA、SOX、加州 SB1386 和 AB1950、欧洲 的 1995/46/EC)。 如果有必要用户可以创建并根据自己习惯检查标准并修改标准模 板(详见用户指导)。 |
| 准备两套扫描结果显示不同的 URL 和(或)发现的安全问题。 |
| 安全报告 |
| 行业标准 |
| 调整服从 |
| 分析报告 |
| 模板报告 |
| 报告的一种形式,包括用户规定的数据和用户规定的文件格式, 用微软 Word .doc 格式。 |
| 8 其他任务 |
| 此公共部分的章节非 AppScan 标准的一部分。 |
| 8.1 手动检查 |
| 手动检查使用户了解手动应用,在链接上点击和输入数据。有三种情况使用户考虑 手动检查而不使用自动扫描: 反自动化的(比如需要填入一些由图片显示的随机词语)。 检查一个特殊的用户过程(用户使用脚本存取的 URL、文件和参数) 有些 URL 在扫描过程中可能同时起作用。创建一个手动检查使用户填入可用数 据。 录制一个手动检查: |
| 1. 点 |
| 手动检查。 |
| 一个 Internet 浏览器打开。 2. 了解站点,点击链接填入需要的地址。 3. 结束时关闭浏览器。 一个检查 URL 对话框出现。 4. 如果列表符合要求,点击 OK。 AppScan 检查用户的输入是否适合从文件自动添加,如果可以,询问用户是否 想添加。 5. 执行下面某条: 如果用户不想把这次录制用于未来的扫描,点击 No。 如果想把部分或者全部输入从文件自动添加,点击 Yes 并从临时参数列表中选 择一项,点击 Move(把他们移到现有参数列表),然后点 OK。 6. 点击 OK。 AppScan 分析用户输入的 URL,然后根据这个分析创建测试。 |
| 7. 运行新的测试。点击 |
| 测试,然后选择继续测试。 |
| 8.2 计划 |
| 用户可以计划扫描自动或者在一个时间段内开始。 计划一个扫描: 1. 点工具,扫描计划,然后点击 New。 2. 为计划起一个名字并选择或者填入用户要求的选项: 选择马上扫描或者保存的扫描(如果保存,写入要求的*.scan 文 件 )。 选择每天、每周、每月或者只有一次。 选择日期和时间开始第一次运行扫描。 名称和密码的种类。 3. 点击 OK。 |
| 8.3 输出扫描结果 |
| 用户可以以 XML 文件或者相关数据库的形式输出完成扫描的结果。(相关数据库检 查结果存为 Firebird 数据库结构。这是开源的,而且符合 ODBC 和 JDBC 标 准 。) 输出一个报告文档: 1. 点击 File/Export。 2. 输入文档名称。 3. 选择 XML 或者 Relational DB(相关数据库)格式。 4. 点击保存。 |
| 9 工具栏摘要 |
| 新建 |
| 打开 |
| 保存 |
| 打印 |
| 开始扫描 |
| 暂停扫描 |
| 手动检查 |
| 设置扫描 |
| 扫描检查 |
| 查找 |
| 扫描日志 |
| 创建报告 |
| 检查更新 |
| 选择模板创建扫描。(能够随时打开设置向导。) |
| 读取一个保存的扫描或者扫描模板。 |
| 保存现在的扫描。 |
| 打印应用树和现在窗口的详细信息栏(安全问题、修改工作或 者应用资料)。节点在被显示的时候可以扩大或缩小。 |
| (只有在扫描被读取或者设置的时候才能执行) |
| (只有扫描运行时才能执行) |
| 打开浏览器到应用的 URL,手动浏览,像用户一样填入参数。 AppScan 在测试这个站点时会加入这个输入数据的测试。 |
| 打开扫描设置对话框来设置扫描。 |
| 运行扫描检查来评价用户现在的设置和修改建议。 |
| 打开 AppScan 搜索引擎。 |
| 在扫描时或扫描后显示扫描日志。 列出 AppScan 执行过程中所( 发现和执行的所有事务。) |
| 为现在的扫描建立一个基础报告。 |
| 为 AppScan 检查安全升级。 |
| 10 联系我们 |
| IBM致力于顾客的满意。想得到有关AppScan的技术支持,特殊建议,销售或 者资料请登陆:www.watchfire.com/services/support.aspx |