AppScan使用之:网站安全扫描测试
发布时间:2022-12-07 11:31:49 所属栏目:安全 来源:
导读: AppScan是业界第一款并且是领先的web应用安全测试工具包,也是唯一一个在所有级别应用上提供全面纠正任务的工具。AppScan扫描web应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。AppScan的扫描能力,配
|
AppScan是业界第一款并且是领先的web应用安全测试工具包,也是唯一一个在所有级别应用上提供全面纠正任务的工具。AppScan扫描web应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。AppScan的扫描能力,配置向导和详细的报表系统都进行了整合,简化使用,增强用户效率,有利于安全防范和保护web应用基础架构。 下面来详细介绍AppScan进行网站安全扫描测试的使用步骤: 1、如果你是第一次启动,屏幕中央将会出现一个“欢迎”对话框。在此对话中,您可以点击“入门”链接,查看 IBM Rational AppScan 的“新手入门帮助文档”。这里我们点击“创建新的扫描”来创建网站安全扫描任务。 创建新的扫描 2、在“新建扫描”窗口中,点击右侧预定义模板中的“常规扫描”链接,将出现“扫描配置向导”。 常规扫描 3、在配置向导中提供“Web应用程序扫描(A)”和“Web Service扫描(S)”的扫描(如果需要进行Web Service的扫描必须先下载安装GSC),这里默认选择 “Web应用程序扫描”,点击下一步。 扫描选择 4、这里使用IBM提供的测试 Web 站点:。点击URL链接后的按钮可以打开APPSCAN浏览器查看网站是否可以正常连接。勾选“仅扫描此目录中或目录下的链接”,然后点击下一步。 URL和服务器 5、在弹出登录提示框时,用于登录这一测试站点的用户名及密码为:用户名(Username):jsmith ,密码(Password): Demo1234 。 这里有四种登录方法: 1)记录(推荐):通过记录一次被测网站的登录过程作为扫描时登录到网站。(一般推荐使用此选项) 2)提示:记录一次被测网站的登录过程,当扫描时给予提示,输入用户校验信息登录到网站。(如果有验证码时,建议使用此) 3)自动:通过输入已知被测网站的用户名和密码,在扫描时自动登录到网站。 4)无:不需要登录。 这里选择“记录(推荐)”,点击“记录”按钮网站安全扫描,在弹出浏览框中的网站()中输入上面提供的用户名和密码来记录网站登录过程,登录成功后关闭弹出的浏览框即完成记录。点击下一步进入到测试策略设置窗口。 登录管理策略 6、测试策略默认为“缺省值”,也可以点击“完全扫描配置”进入扫描配置窗口,对策略进行具体的设置,包括筛选所要扫描的威胁分类,定义严重性等级等,也可以设置其他配置参数。完成设置点“确认”后返回扫描配置向导窗口,点击下一步,进入到完成扫描配置向导窗口。 策略选择 测试策略选择 完全扫描配置 完全扫描配置 7、在完成扫描配置向导中,使用默认配置,点击完成。在弹出的“自动保存”窗口中选择是,并输入保存的文件名(如,JustTest),完成后即进入网站全面扫描。 8、当探索阶段完后,需要点击“扫描”按钮,选择“继续完全扫描”。在执行Web安全扫描任务的过程中,你可以随时查看已经检测出的Web安全问题。扫描专家评估完成后,会显示所建议的配置更改核实表。 探索扫描 探索扫描完成 继续完全扫描 继续完全扫描 注意:如果存在用户输入的AppScan无法执行的更改,那么它们的复选框会显示成灰色且为未选中状态,如果要修改这些更改,单击更改的链接。 9、扫描完成后,点击“报告”,创建安全扫描报告。在“安全报告”会提供扫描期间发现的安全问题信息。 1)选择模板:管理综合报告、详细报告、修复任务、开发者、QA、站点目录。 注:可以通过你所需要的内容,在右侧树中选择你报告所有体现的内容 2)从最低严重性列表中,选择要包含在报告中的问题最低严重性级别。(可以在布局中设置logo等) 3)点击保存报告,自动生成报告;报告提供PDA或WORD格式的保存。 安全报告 至此,完成了网站的安全扫描测试。 (编辑:百客网 - 域百科网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐