目 录 一 介 绍 篇... 3 1.1. 产 品 特 点... 3 1.2. 高 级 功 能... 3 1.3. 支 持 技 术... 3 二 安 装 篇... 4 2.1. 安 装 前 的 准 备 工 作... 4 2.2. 安 装 步 骤... 5 2.2.1. 介 质 准 备... 5 2.

IBM Appscan Standard 使 用 教 程 v1.0 文 档 版 本 广 州 天 懋 信 息 系 统 股 份 有 限 公 司 2016/4/28 日 期 版 本 作 者 修 改 内 容 2016-04-28 1.0 黄 金 振 初 始 版 本 1 / 34

目 录 一 介 绍 篇... 3 1.1. 产 品 特 点... 3 1.2. 高 级 功 能... 3 1.3. 支 持 技 术... 3 二 安 装 篇... 4 2.1. 安 装 前 的 准 备 工 作... 4 2.2. 安 装 步 骤... 5 2.2.1. 介 质 准 备... 5 2.2.2. 安 装... 5 三 使 用 入 门 篇... 13 3.1. 软 件 界 面 介 绍... 13 3.1.1. 视 图 选 择 器... 14 3.1.2. 应 用 程 序 树... 15 3.1.3. 结 果 列 表... 17 3.2. 软 件 工 作 流 程 说 明... 18 3.3. 扫 描 过 程 步 骤 演 示... 19 3.3.1. URL 扫 描... 20 3.3.2. 扫 描 结 果... 30 3.3.3. 安 全 报 告... 32 四 附 件... 34 2 / 34

一 介 绍 篇 1.1. 产 品 特 点 IBM Security AppScan Standard 是 用 于 Web 应 用 程 序 和 Web 服 务 的 安 全 漏 洞 测 试 工 具 它 包 含 了 可 帮 助 保 护 站 点 免 受 网 络 攻 击 的 威 胁 的 最 高 级 测 试 方 法, 以 及 一 整 套 的 应 用 程 序 数 据 输 出 选 项 IBM Security AppScan Standard 是 用 于 Web 应 用 程 序 和 Web 服 务 的 安 全 漏 洞 测 试 工 具 它 包 含 了 可 帮 助 保 护 站 点 免 受 网 络 攻 击 的 威 胁 的 最 高 级 测 试 方 法, 以 及 一 整 套 的 应 用 程 序 数 据 输 出 选 项 AppScan Standard 采 用 三 种 彼 此 互 补 和 增 强 的 不 同 测 试 方 法 : 动 态 分 析 ( 黑 盒 扫 描 ) 这 是 主 要 方 法, 用 于 测 试 和 评 估 运 行 时 的 应 用 程 序 响 应 静 态 分 析 ( 白 盒 扫 描 ) 这 是 用 于 在 完 整 Web 页 面 上 下 文 中 分 析 JavaScript 代 码 的 独 特 技 术 交 互 分 析 ( glass box 扫 描 ) 动 态 测 试 引 擎 可 与 驻 留 在 Web 服 务 器 本 身 上 的 专 用 glass-box 代 理 程 序 交 互, 从 而 使 其 能 够 比 仅 通 过 传 统 动 态 测 试 时 识 别 更 多 问 题 并 具 有 更 高 准 确 性 1.2. 高 级 功 能 AppScan 的 高 级 功 能 还 包 括 : 常 规 和 法 规 一 致 性 报 告, 并 提 供 超 过 40 个 不 同 的 开 箱 即 用 模 板 通 过 AppScan extension Framework 或 通 过 使 用 AppScan SDK 直 接 集 成 到 现 有 系 统 内 来 实 现 的 定 制 和 可 扩 展 性 链 接 分 类 功 能, 超 越 应 用 程 序 安 全 性 以 确 认 由 指 向 恶 意 或 其 他 不 需 要 的 站 点 的 链 接 向 用 户 带 来 的 风 险 AppScan Standard 可 帮 助 您 在 站 点 部 署 之 前 并 且 为 生 产 阶 段 的 进 行 中 风 险 评 估 来 降 低 Web 应 用 程 序 攻 击 和 数 据 违 规 的 风 险 1.3. 支 持 技 术 站 点 使 用 的 某 些 技 术 可 能 会 影 响 AppScan 扫 描 站 点 的 能 力, 但 是 其 他 技 术 完 全 不 会 影 响 扫 描 AppScan 是 一 个 黑 匣 (DAST) 工 具, 与 浏 览 器 使 用 相 同 的 机 制 访 问 站 点 因 此, 对 于 浏 览 器 透 明 的 服 务 器 端 技 术 对 于 AppScan 也 透 明, 但 不 会 影 响 扫 描 客 户 机 端 技 术 ( 如 JavaScript 和 HTTP 协 议 ) 本 身 不 影 响 AppScan 与 浏 览 器 不 同, AppScan 需 要 在 允 许 自 动 搜 寻 会 话 维 护 和 课 程 测 试 级 别 理 解 这 些 技 术 在 以 下 情 况 下, 您 需 要 配 置 AppScan 才 能 正 确 进 行 扫 描 AppScan 扫 描 包 含 两 个 主 要 阶 段 : 探 索 和 测 试 针 对 每 个 阶 段, 下 表 提 供 了 理 解 哪 些 服 务 器 端 和 客 户 机 端 技 术 可 能 会 影 响 扫 描 的 准 则 以 及 需 要 配 置 的 情 况 3 / 34

探 索 阶 段 测 试 阶 段 广 州 天 懋 信 息 系 统 股 份 有 限 公 司 http://www.trustmo.com 服 务 器 端 技 术 客 户 机 端 技 术 任 何 不 影 响 客 户 机 的 服 务 器 端 技 术 ( 如 使 当 今 使 用 的 两 项 主 要 客 户 机 端 技 术 是 用 的 特 定 数 据 库 ) 不 会 以 任 何 方 式 影 响 扫 HTML5 和 JavaScript, 这 两 项 技 术 都 会 描 影 响 扫 描 的 探 索 阶 段 : 只 要 AppScan 配 置 正 确, 很 多 影 响 客 户 机 AppScan 在 探 索 阶 段 支 持 HTML 这 表 的 机 制 ( 如 会 化 管 理 ) 都 不 会 限 制 扫 描 示 链 接 可 以 抽 取, 表 单 可 以 理 解 和 填 写 例 如,Web 服 务 器 和 应 用 程 序 服 务 器 影 响 等 等 管 理 会 话 标 识 的 方 式,AppScan 必 须 能 够 AppScan 支 持 ( 执 行 ) 纯 JavaScript 特 跟 踪 这 些 标 识 很 多 常 见 会 话 标 识 已 预 定 别 支 持 多 个 主 要 框 架, 包 括 JQuery 义 或 可 以 由 AppScan 自 动 检 测, 不 需 要 其 AngularJS 和 PrototypeJS 但 其 他 很 多 他 配 置 但 是, 某 些 定 制 机 制 可 能 仍 需 要 JS 框 架 不 受 支 持, 不 会 以 任 何 方 式 影 响 其 他 配 置 扫 描 AppScan 特 别 支 持 WebSphere Portal 定 如 果 自 动 探 索 阶 段 因 特 定 技 术 丢 失 页 制 URL WSP 对 URL 的 编 码 方 式 使 其 在 面, 可 以 在 自 动 探 索 之 后, 测 试 阶 段 之 显 示 时 很 难 跟 踪 AppScan 会 解 码 这 些 前, 通 过 手 动 探 索 站 点 将 这 些 页 面 添 加 URL, 以 理 解 这 些 URL 并 对 其 进 行 调 优 到 扫 描 仅 对 Java 和.NET 支 持 glass box 扫 描 AppScan 旨 在 测 试 应 用 程 序 而 不 是 其 支 持 仅 在 JavaScript 代 码 上 执 行 客 户 机 端 技 术, 因 此 它 们 不 会 影 响 测 试 再 次 考 虑 测 试 当 前 只 检 测 到 纯 JS 漏 洞 数 据 库 :AppScan 的 SQL 注 入 测 试 套 件 与 不 支 持 JS 框 架, 因 此 可 能 无 法 正 确 分 所 用 的 数 据 库 无 关 它 还 可 以 为 第 三 方 测 析 使 用 框 架 的 JS 代 码 试 ( 常 见 漏 洞 测 试 ) 提 供 特 定 测 试 完 全 支 持 HTML5 二 安 装 篇 2.1. 安 装 前 的 准 备 工 作 硬 件 要 求 : 物 理 主 机 or 虚 拟 主 机 双 核 CPU 2.0 GHz 以 上 (2 个 cpu/ 线 程 以 上 ) 3GB RAM 以 上 内 存 30GB 以 上 硬 盘 空 间 100MB 以 上 网 卡 建 议 虚 拟 主 机 配 置 : 4CPU / 4GB 内 存 /50GB 磁 盘 空 间 / 百 兆 网 卡 /2M 以 上 带 宽 操 作 系 统 要 求 :( 不 支 持 XP/2000/2003) Microsoft Windows Server 2012:Essentials Standard 和 Datacenter Microsoft Windows Server 2012 R2:Essentials Standard 和 Datacenter Microsoft Windows Server 2008:Standard 和 Enterprise,SP2 Microsoft Windows Server 2008 R2:Standard 和 Enterprise( 含 或 不 含 SP1) Microsoft Windows 10:Pro 和 Enterprise 4 / 34

Microsoft Windows 8.1:Pro 和 Enterprise Microsoft Windows 8:Standard Pro 和 Enterprise Microsoft Windows 7:Enterprise Professional 和 Ultimate( 含 或 不 含 SP1) 软 件 要 求 : IE: Microsoft Internet Explorer 8 9 10 11 运 行 环 境 :Microsoft.NET Framework 4.5.2 以 上 ( 可 选 )flash: 扫 描 内 容 涉 及 flash 的 时 候 需 要 安 装 Adobe Flash Player for Internet Explorer V10.1.102.64 或 更 高 版 本 才 能 执 行 Flash ( 可 选 ) 用 于 定 制 报 告 模 板 的 Microsoft Word 2007 2010 和 2013 2.2. 安 装 步 骤 2.2.1. 介 质 准 备 本 次 安 装 为 IBM Security AppScan Standard 版 本, 版 本 号 为 9.0.0.0 其 他 小 版 本 基 本 一 致, 所 以 不 再 另 外 列 举 通 过 官 网 下 载 软 件 或 者 通 过 光 盘 获 取 本 次 测 试 为 预 先 下 载 的 安 装 包 进 行 安 装 2.2.2. 安 装 AppScan 安 装 过 程 较 为 简 单, 双 击 直 接 运 行 安 装 程 序 即 可 : 本 次 介 绍 的 有 2 个 安 装 程 序, APPS_STD_EDI_9.0_WIN_ML_EVA 为 主 程 序, SEC_WEB_SER_ESP_9.0_WIN_ML_EVA 为 Web Service 组 件 程 序, 先 安 装 主 程 序, 后 安 装 组 件 程 序 不 同 的 小 版 本 可 能 安 装 程 序 名 称 不 一 样, 只 需 确 保 安 装 程 序 的 来 源 可 信 即 可 安 装 过 程 大 同 小 异, 不 再 另 外 发 布 其 他 小 版 本 的 安 装 报 告 2.2.2.1. 安 装 主 程 序 下 一 步 : 选 择 安 装 语 言 5 / 34

下 一 步 : 接 受 安 装 协 议 并 点 击 下 一 步 6 / 34

下 一 步 : 选 择 安 装 路 径, 如 默 认 安 装, 直 接 点 击 安 装 7 / 34

注 意 安 装 结 束 后 提 示 是 否 下 载 Appscan 的 web services 扫 描 组 件, 如 无 需 求, 可 以 不 安 装, 有 需 要 的 话, 可 以 在 确 保 联 网 的 情 况 下 点 击 是, 进 行 在 线 下 载, 本 次 测 试 已 提 前 下 载 好 web services 组 件 的 安 装 程 序, 在 此 步 骤, 我 们 选 择 否 在 主 程 序 安 装 完 毕 后 我 们 再 另 行 安 装 下 一 步 : 点 击 完 成, 到 目 前 为 止 我 们 已 安 装 好 了 appscan 的 主 程 序 8 / 34

在 进 行 下 一 步 安 装 之 前, 我 们 先 验 证 一 下 已 安 装 的 主 程 序 是 否 可 以 正 常 运 行 : 双 击 桌 面 程 序 图 标 : 运 行 过 程 中 出 现 了 注 册 表 问 题 : 条 目 中 的 服 务 器 连 接 数 量 非 appscan 的 建 议 标 准 值, 提 示 是 否 允 许 进 行 修 改? 此 处 建 议 为 修 改 确 定 后 会 自 行 退 出, 请 重 新 运 行 桌 面 图 标 9 / 34

好 了, 到 目 前 为 止 我 们 已 完 成 appscan 的 主 程 序 安 装 2.2.2.2. 安 装 组 件 (Web Services) 下 一 步 我 们 来 安 装 Web Services 组 件, 如 无 Web Services 扫 描 需 求, 可 以 跳 过 双 击 安 装 程 序 : 下 一 步 : 选 择 安 装 语 言 点 击 下 一 步 : 10 / 34

下 一 步 : 接 受 安 装 协 议 并 点 击 下 一 步 下 一 步 : 点 击 安 装 进 行 下 一 步 安 装 11 / 34

下 一 步 : 点 击 完 成, 到 此 我 们 的 安 装 已 全 部 完 成 12 / 34

下 面 我 们 开 始 我 们 的 安 全 扫 描 之 旅! 三 使 用 入 门 篇 3.1. 软 件 界 面 介 绍 安 装 后 运 行 桌 面 图 标, 我 们 将 得 到 appscan 的 软 件 界 面 13 / 34

3.1.1. 视 图 选 择 器 数 据 视 图 显 示 来 自 探 索 阶 段 的 脚 本 参 数 交 互 式 URL 已 访 问 的 URL 中 断 链 接 已 过 滤 的 URL 注 释 JavaScript 和 cookie 应 用 程 序 树 : 完 成 应 用 程 序 树 结 果 列 表 : 从 结 果 列 表 顶 部 的 弹 出 列 表 中 选 择 过 滤 器, 以 确 定 要 显 示 哪 些 信 息 详 细 信 息 窗 格 : 脚 本 参 数 交 互 式 URL 已 访 问 的 URL 中 断 链 接 已 过 滤 的 URL 注 释 JavaScript 和 cookie 的 已 过 滤 列 表 与 其 他 两 个 视 图 不 同, 即 使 AppScan 仅 完 成 了 探 索 阶 段, 应 用 程 序 数 据 视 图 也 可 用 使 用 结 果 列 表 顶 部 的 弹 出 列 表 来 过 滤 数 据 键 盘 快 捷 键 :F2 问 题 视 图 显 示 发 现 的 实 际 问 题, 从 概 述 级 别 一 直 到 个 别 请 求 / 响 应 级 别 这 是 缺 省 视 图 应 用 程 序 树 : 完 成 应 用 程 序 树 每 个 项 旁 的 计 数 器 会 显 示 为 项 找 到 的 问 题 数 量 结 果 列 表 : 列 出 应 用 程 序 树 中 所 选 定 的 节 点 的 问 题, 以 及 每 个 问 题 的 严 重 性 14 / 34

详 细 信 息 窗 格 : 显 示 在 结 果 列 表 中 所 选 定 问 题 的 咨 询 修 订 建 议 和 请 求 / 响 应 ( 包 括 所 使 用 的 所 有 变 体 ) 键 盘 快 捷 键 :F3 任 务 视 图 提 供 特 定 修 复 任 务 的 任 务 列 表, 以 修 订 扫 描 所 找 到 的 问 题 应 用 程 序 树 : 完 成 应 用 程 序 树 每 个 项 旁 的 计 数 器 会 显 示 该 项 的 修 订 建 议 数 量 结 果 列 表 : 列 出 应 用 程 序 树 中 所 选 定 的 节 点 的 修 订 任 务, 以 及 每 项 任 务 的 优 先 级 详 细 信 息 窗 格 : 显 示 在 结 果 列 表 中 所 选 定 的 修 复 任 务 的 详 细 信 息, 以 及 该 修 复 将 解 决 的 所 有 问 题 键 盘 快 捷 键 :F4 3.1.2. 应 用 程 序 树 应 用 程 序 树 是 一 个 树 形 视 图, 显 示 AppScan 在 您 的 应 用 程 序 上 找 到 的 文 件 夹 URL 和 文 件 对 于 不 具 有 分 层 URL 结 构 的 应 用 程 序, 如 单 个 入 口 点 应 用 程 序 ( 例 如 MVC), 或 者 分 层 结 构 不 合 逻 辑 的 应 用 程 序, 您 可 通 过 定 义 一 组 可 从 页 面 中 抽 取 逻 辑 路 径 的 正 则 表 达 式, 来 创 建 基 于 内 容 的 应 用 程 序 树 15 / 34

应 用 程 序 树 右 键 单 击 菜 单 如 果 您 在 应 用 程 序 树 中 右 键 单 击 某 个 项 ( 不 是 我 的 应 用 程 序 ), 那 么 上 下 文 相 关 的 菜 单 便 会 提 供 以 下 选 项 的 部 分 或 全 部 : 菜 单 项 在 浏 览 器 中 显 示 功 能 打 开 嵌 入 式 浏 览 器, 进 入 所 选 URL 手 动 探 索 启 动 所 选 项 的 手 动 探 索 Manual Test 打 开 手 工 测 试 对 话 框 记 录 多 步 骤 操 作 复 制 URL 记 录 多 步 骤 操 作 序 列, 用 于 测 试 只 能 通 过 以 特 定 顺 序 单 击 来 访 问 的 站 点 部 分 将 所 选 URL 复 制 到 剪 贴 板 ( 存 在 多 个 子 节 点 时, 将 复 制 第 一 个 子 节 点 的 URL ) 为 此 节 点 报 告 为 应 用 程 序 树 中 当 前 选 定 的 节 点 ( 包 括 其 所 有 子 节 点 ) 创 建 报 告 从 扫 描 中 排 除 从 扫 描 中 排 除 所 选 的 URL( 或 者 所 选 节 点 下 的 所 有 URL) ( 使 用 包 括 在 扫 描 中 来 切 换 ) 16 / 34

3.1.3. 结 果 列 表 结 果 列 表 计 数 器 ( 各 节 点 旁 边 括 号 中 的 数 字 ) 会 根 据 您 在 视 图 选 择 器 中 所 选 的 视 图 进 行 更 改 : 安 全 问 题 : 计 数 器 会 指 示 与 节 点 及 其 所 有 子 节 点 相 关 的 问 题 总 数 注 : 安 全 问 题 的 总 数 ( 位 于 结 果 列 表 的 顶 部 ) 是 站 点 中 易 受 攻 击 位 置 的 一 种 度 量 方 式, 并 且 部 分 取 决 于 站 点 的 构 造 方 式 如 果 定 义 基 于 内 容 的 结 构, 那 么 应 用 程 序 树 中 的 问 题 总 数 可 能 与 基 于 URL 的 应 用 程 序 树 对 应 的 问 题 总 数 不 同 ( 针 对 相 同 的 结 果 ) 如 果 站 点 结 构 基 于 内 容 ( 而 不 是 基 于 URL), 并 且 基 于 内 容 的 视 图 正 确 配 置, 那 么 基 于 内 容 的 视 图 中 的 问 题 计 数 能 更 准 确 地 表 示 站 点 中 存 在 的 易 受 攻 击 位 置 的 数 量 变 体 总 数 ( 位 于 结 果 列 表 顶 部 的 括 号 中 ) 与 站 点 结 构 无 关, 并 且 不 会 在 基 于 内 容 的 视 图 和 基 于 URL 的 视 图 之 间 进 行 更 改 修 复 任 务 : 计 数 器 会 指 示 与 节 点 及 其 所 有 子 节 点 相 关 的 修 复 任 务 的 数 量 应 用 程 序 数 据 : 无 计 数 器 17 / 34

3.2. 软 件 工 作 流 程 说 明 广 州 天 懋 信 息 系 统 股 份 有 限 公 司 http://www.trustmo.com AppScan 工 作 流 程 包 含 下 列 阶 段 : 1. 选 择 模 板 : 预 定 义 的 扫 描 配 置 即 是 扫 描 模 板 您 可 以 装 入 常 规 扫 描 模 板, 其 他 预 定 义 模 板, 或 者 先 前 已 保 存 的 模 板 ( 您 可 以 稍 后 按 照 要 求 为 当 前 扫 描 调 整 配 置 ) 2. 应 用 程 序 或 Web Service 扫 描 : 扫 描 Web Service 要 求 用 户 使 用 GSC( 通 用 服 务 客 户 机 ) 进 行 一 些 手 动 输 入, 以 向 AppScan 说 明 如 何 使 用 此 服 务 Web 应 用 程 序 扫 描 : 如 果 您 扫 描 的 不 是 Web Service, 或 者 如 果 您 要 扫 描 应 用 程 序 中 其 Web 服 务 以 外 的 部 分, 请 保 留 此 缺 省 选 项 的 选 中 状 态 Web Service 扫 描 : 如 果 您 要 扫 描 服 务, 请 选 择 此 选 项 随 后 将 打 开 GSC( 通 用 服 务 客 户 机 ), 以 便 您 可 以 向 服 务 发 送 请 求 并 收 集 结 果, 以 供 AppScan 分 析 并 用 于 创 建 测 试 3. 扫 描 配 置 : 配 置 扫 描, 将 站 点 环 境 以 及 其 他 需 求 的 详 细 信 息 考 虑 在 内 4.( 可 选 ) 手 动 探 索 : 登 录 到 站 点, 然 后 单 击 链 接 并 像 用 户 那 样 填 写 表 单 这 是 一 个 很 好 的 方 法 来 向 AppScan 展 示 典 型 用 户 如 何 浏 览 站 点, 从 而 确 保 扫 描 站 点 的 重 要 部 分 并 提 供 用 于 填 写 表 单 的 数 据 5.( 仅 Web Service) 使 用 GSC 发 送 请 求 : 打 开 GSC 并 向 服 务 发 送 一 些 有 效 请 求 6.( 可 选 ) 运 行 Scan Expert: 这 是 对 您 的 站 点 的 一 个 简 短 预 扫 描, 以 评 估 配 置 Scan Expert 可 能 会 建 议 进 行 更 改 以 提 高 主 扫 描 的 效 率 7. 扫 描 应 用 程 序 或 服 务 : 这 是 主 扫 描, 由 探 索 和 测 试 阶 段 组 成 探 索 阶 段 :AppScan 搜 寻 您 的 站 点 ( 像 一 般 用 户 那 样 访 问 链 接 ), 并 记 录 响 应 它 将 创 建 在 您 应 用 程 序 上 所 找 到 的 URL 目 录 和 文 件 等 的 层 次 结 构 此 列 表 会 显 示 在 应 用 程 序 树 中 ( 请 参 阅 应 用 程 序 树 ) 探 索 阶 段 可 自 动 完 成 手 动 完 成 或 以 两 种 方 式 的 组 合 方 式 完 成 此 外, 您 还 可 以 导 18 / 34

入 探 索 数 据 文 件 ( 请 参 阅 导 出 手 动 探 索 数 据 ), 此 文 件 由 以 前 记 录 的 手 动 探 索 序 列 组 成 AppScan 随 后 分 析 其 从 站 点 收 集 的 数 据, 并 且 根 据 这 些 数 据 为 站 点 创 建 测 试 这 些 测 试 旨 在 揭 露 基 础 结 构 ( 例 如 第 三 方 商 品 或 因 特 网 系 统 中 的 安 全 漏 洞 ) 的 弱 点 和 应 用 程 序 自 身 的 弱 点 测 试 阶 段 : 在 测 试 阶 段 中,AppScan 会 根 据 其 在 探 索 阶 段 中 接 收 到 的 响 应 来 测 试 您 的 应 用 程 序, 以 揭 露 漏 洞 并 评 估 其 严 重 性 可 以 在 扫 描 配 置 对 话 框 中 查 看 当 前 版 本 的 AppScan 中 包 含 的 所 有 测 试 的 最 新 列 表 ( 请 参 阅 测 试 策 略 视 图 ) 除 AppScan 自 动 创 建 和 运 行 的 测 试 外, 您 还 可 以 创 建 用 户 定 义 的 测 试 ( 请 参 阅 用 户 定 义 的 测 试 ) 您 的 测 试 可 对 AppScan 生 成 的 测 试 进 行 补 充, 并 且 可 以 验 证 其 发 现 的 结 果 测 试 结 果 会 显 示 在 结 果 列 表 中, 您 可 以 从 中 对 其 进 行 查 看 和 修 改 结 果 的 完 整 详 细 信 息 会 显 示 在 详 细 信 息 窗 格 中 8.( 可 选 )Result Expert: 处 理 扫 描 结 果 并 将 信 息 添 加 到 问 题 信 息 选 项 卡 ( 在 详 细 信 息 窗 格 中 ), 包 括 CVSS 度 量 评 分 和 相 关 截 屏 9.( 可 选 ) 运 行 恶 意 软 件 测 试 : 这 将 分 析 站 点 上 找 到 的 页 面 和 链 接 是 否 包 含 恶 意 内 容 和 其 他 不 需 要 的 内 容 注 : 尽 管 恶 意 软 件 测 试 原 则 上 可 在 此 阶 段 执 行 ( 在 此 情 况 下 将 使 用 主 扫 描 的 探 索 阶 段 结 果 ), 但 在 实 践 中, 恶 意 软 件 测 试 通 常 在 实 时 站 点 上 运 行, 而 常 规 扫 描 通 常 在 测 试 站 点 上 运 行 ( 因 为 扫 描 实 时 站 点 存 在 将 其 中 断 的 风 险 ) 10. 复 审 结 果 用 于 评 估 站 点 的 安 全 状 态 Result Expert 可 就 此 对 您 进 行 帮 助 您 可 能 还 需 要 执 行 以 下 操 作 : 手 动 探 索 其 他 链 接 复 审 修 复 任 务 打 印 报 告 根 据 您 对 结 果 的 复 审, 在 必 要 的 情 况 下 调 整 扫 描 配 置, 然 后 再 次 扫 描 3.3. 扫 描 过 程 步 骤 演 示 扫 描 原 理 说 明 : 19 / 34

3.3.1. URL 扫 描 3.3.1.1. 常 规 静 态 页 面 扫 描 ( 无 登 陆 认 证 ) 现 在 我 们 对 一 个 URL 进 行 一 次 测 试 扫 描, 下 面 我 们 以 http://demo.testfire.net 网 站 为 扫 描 对 象 进 行 扫 描 测 试 A. 打 开 软 件, 文 件 - 新 建 20 / 34

B. 选 择 进 行 扫 描 的 模 板, 本 次 测 试 使 用 了 预 设 的 模 板 常 规 扫 描 模 板 定 义 : 一 系 列 扫 描 规 则 的 集 合 软 件 提 供 了 一 下 预 设 的 扫 描 方 案, 用 户 可 以 根 据 自 己 的 应 用 类 型 进 行 选 择 : 常 规 扫 描 ( 推 荐 ) 快 速 且 简 便 的 扫 描 21 / 34

基 于 参 数 的 导 航 WebSphere Commerce WebSphere Portal Hacme Bank WebGoat v5 C. 选 择 扫 描 类 型, 本 次 测 试 我 们 的 对 象 为 web 应 用, 所 以 我 们 选 Web 应 用 程 序 扫 描, 点 击 下 一 步 D. 在 起 始 URL 栏 填 入 我 们 需 要 扫 描 的 url 地 址 :http://demo.testfire.net E. 由 于 本 次 我 们 是 对 无 需 登 录 的 静 态 页 面 进 行 扫 描, 所 以 我 们 在 登 录 管 理 中 选 中 无 22 / 34

F. 本 次 我 们 只 对 应 用 程 序 扫 描, 为 了 节 省 扫 描 时 间 与 扫 描 的 精 准 度, 所 以 扫 描 的 策 略 使 用 仅 应 用 程 序 注 : 扫 描 策 略 定 义 为 多 个 扫 描 策 略 规 则 的 集 合, 软 件 预 定 义 策 略 如 下 : 仅 应 用 程 序 ( 如 果 只 测 试 APP, 推 荐 此 策 略 ) 仅 基 础 架 构 仅 第 三 方 入 侵 式 完 全 Web Services 关 键 的 少 数 开 发 者 精 要 23 / 34

G. 为 了 避 免 对 不 必 要 的 过 程, 扫 描 配 置 向 导 最 后 一 步 的 启 动 步 骤, 我 们 选 择 我 将 稍 后 启 动 扫 描 因 为 自 动 扫 描 可 能 会 对 我 们 的 应 用 产 生 一 定 的 影 响, 如 性 能 下 降 拒 绝 服 务 等 等, 出 于 在 线 环 境 的 保 护, 我 们 将 手 动 启 动 扫 描 H. 出 于 使 用 习 惯, 我 们 选 择 仅 探 索, 其 他 无 特 殊 需 求 的 用 户 可 以 直 接 完 全 扫 描, 但 是 对 于 生 产 环 境, 不 建 议 这 样 直 接 完 全 扫 描, 扫 描 时 间 无 法 评 估, 所 以 一 般 情 况 下 先 通 过 探 索 获 取 应 用 的 整 体 架 构, 根 据 需 求 进 行 测 试 24 / 34

系 统 提 示 是 否 自 动 保 存 扫 描 的 结 果, 一 般 我 们 都 自 动 保 存, 所 以 选 是 (Y) I. 系 统 的 保 存 你 所 进 行 的 扫 描 进 行 文 件 级 别 的 保 存, 所 以 输 入 需 要 进 行 保 存 的 文 件 名 称, 以 便 进 行 下 次 查 看 如 demo.testfire.net J. 扫 描 结 束 后, 在 应 用 程 序 树 里 面 会 显 示 完 整 的 网 站 结 构, 请 核 查 是 否 扫 描 完 整, 不 完 整 可 以 重 新 扫 描, 不 影 响 上 一 次 结 果 25 / 34

问 题 K. 得 到 网 站 结 构 后, 我 们 选 择 仅 测 试, 对 结 果 进 行 漏 洞 测 试 与 验 证, 查 找 网 站 的 漏 洞 等 下 方 的 状 态 栏 会 出 现 测 试 进 度 L. 测 试 结 束 后, 会 在 结 果 列 表 里 面 把 网 站 所 有 的 漏 洞 隐 患 进 行 排 序, 可 以 通 过 详 细 信 息 查 看 问 题 代 码, 并 提 供 建 议 26 / 34

3.3.1.2. 添 加 登 录 认 证 对 于 需 要 登 陆 的 网 站 类 型, 我 们 还 需 要 进 行 登 录 配 置, 才 能 获 取 登 录 后 的 页 面 A. 点 击 配 置 B. 选 择 登 录 管 理, 并 把 原 来 的 无, 改 成 记 录 ( 推 荐 )(E), 并 点 击 记 录 进 行 登 录 验 证 27 / 34

C. 点 击 记 录 后 会 出 现 APPSCAN 自 带 的 浏 览 器, 并 出 现 所 需 要 扫 描 的 网 站 找 到 登 录 链 接, 并 进 行 登 录, 让 APPSCAN 可 以 对 你 的 登 录 进 行 记 录 28 / 34

登 录 通 过 后, 可 以 直 接 关 闭 浏 览 器 等 待 后, 关 注 图 标 的 变 化 D. 添 加 登 录 后, 在 进 行 扫 描 测 试, 问 题 明 显 增 加, 由 原 来 25 个 问 题, 提 升 到 115 个 : 29 / 34

好 了, 到 此 为 止, 页 面 登 录 测 试 已 完 成 3.3.2. 扫 描 结 果 经 过 扫 描 我 们 来 研 究 一 下 我 们 的 结 果 3.3.2.1. 漏 洞 定 位 打 开 我 们 的 结 果, 我 们 可 以 得 到 以 下 内 容 在 请 求 / 响 应 栏, 我 们 可 以 查 看 APPSCAN 所 用 的 攻 击 测 试 用 例, 并 进 行 前 后 对 比, 提 供 了 比 较 详 细 的 说 明 用 户 可 以 通 过 结 果 来 判 断 是 否 误 报 30 / 34

3.3.2.2. 漏 洞 定 性 对 于 扫 描 结 果, 可 能 存 在 一 些 误 报, 或 者 只 是 存 在 脆 弱 性, 并 非 直 接 漏 洞, 所 以 我 们 可 以 对 结 果 进 行 一 定 的 加 工 通 过 右 键, 我 们 可 以 对 结 果 进 行 多 种 操 作 : 如 降 级 删 除 设 置 为 无 漏 洞 等 等, 如 下 图 31 / 34

3.3.3. 安 全 报 告 APPSCAN 支 持 各 种 类 型 的 报 告 输 出 3.3.3.1. 报 告 类 型 32 / 34

图 标 名 称 简 短 描 述 安 全 性 报 告 行 业 标 准 报 告 扫 描 期 间 找 到 的 安 全 问 题 的 报 告 安 全 信 息 可 能 非 常 广 泛, 并 可 根 据 您 的 需 要 进 行 过 滤 包 括 六 个 标 准 模 板, 但 根 据 需 要, 每 个 模 板 都 可 轻 易 调 整, 以 包 括 或 排 除 信 息 类 别 应 用 程 序 针 对 选 定 的 行 业 委 员 会 或 您 自 己 的 定 制 标 准 核 对 表 的 一 致 性 ( 或 非 一 致 性 ) 报 告 合 规 性 报 告 应 用 程 序 针 对 规 范 或 法 律 标 准 的 大 量 选 项 或 您 自 己 的 定 制 合 规 一 致 性 模 板 的 一 致 性 ( 或 非 一 致 性 ) 报 告 增 量 分 析 报 告 增 量 分 析 报 告 比 较 了 两 组 扫 描 结 果, 并 显 示 了 发 现 的 URL 和 / 或 安 全 问 题 中 的 差 异 基 于 模 板 的 报 告 包 含 用 户 定 义 的 数 据 和 用 户 定 义 的 文 档 格 式 化 的 定 制 报 告 ( 格 式 为 Microsoft Word.doc) 33 / 34

3.3.3.2. 报 告 布 局 四 附 件 IBM 官 方 手 册 : appscan9031- 用 户 手 册.pdf 34 / 34