web安全测试之IBM Rational AppScan安全测试的使用

Appscan是web应用程序渗透测试上使用最广泛的工具之一.它是一个桌面应用程序，它有助于专业安全人员进行Web应用程序自动化脆弱性评估。本文侧重于配置和使用Appcan，分析扫描结果将在下一篇文章中讨论.

Appscan的安装：

要运行Appscan的系统至少需要2GB的RAM,同时确保安装了.net framwork和Adobe flash来执行扫描过程中的Flash内容。在进一步之前，需要注意的是,这种自动扫描器会发送数据到服务器,有可能在扫描过程中让服务器超过负荷，所以它可能会删除服务器上的数据，添加新记录甚至让服务器崩溃.因此扫描之前最好备份所有的数据.

安装Appscan之前，关闭所有打开的应用程序。点击安装文件，会出现安装向导,如果你还没有安装.Net framwork，Appscan安装过程会自动安装，并需要重新启动。按照向导的指示，可以很容易的完成安装.如果你使用的是默认许可，你将只允许扫描appscan中的测试网站。要扫描自己的网站，需要付费购买许可版本.

开始Appscan扫描：

Appscan的试用版可以从下面的链接下载并安装：
http://www.ibm.com/developerworks/downloads/r/appscan/~~V
开始扫描,启动Appscan，你会看到图一中所示的欢迎屏幕.



图一

点击”创建新的扫描” 开始扫描一个新的Web应用程序 ->然后点击常规扫描



图二

选择一个适合你要求的扫描模板。模板包括已经定义好的扫描配置.选择一个模板后会出现配置向导。它会问你选择的扫描类型，选择”常规扫描”，然后点击下一步

扫描配置向导是该工具的核心部分,使用设置向导，会让Appscan知道的需求,其中有很多可供的需求选择.

URL和服务器

起始网址URL：此功能指定要扫描的起始网址.在大多数情况下，这将是该网站的登陆页面.选择http://demo.testfire.net这个演示站来测试Web应用程序漏洞.如果你想限制只扫描到这个目录下的链接,选中该复选框.

区分大小写的路径 :如果你的服务器URL有大小写的区别,选择此项。对大小写的区别取决于服务器的操作系统,Linux/Unix中对大小写是敏感的,而Windows是没有的.



图三：

其他的服务器和域:在扫描过程中Appscan尝试抓取本网站上的所有链接。当它发现了一个链接指向不同的域,它是不会进行扫描攻击的,除非在”Additional Servers and Domains”中有指定.因此,通过指定该标签下的链接,来告诉Appscan继续扫描,即使它和URL是不同的域下.点击下一步继续。

登陆管理

在扫描的过程中，可能会不小心碰到退出按钮导致Appscan注销.因此,要登陆到应用程序中,我们需要根据本条中的设置。

记录:选择此项后,会出现一个新的浏览器，并尝试链接到指定的网站作为本扫描的起始URL.你需要输入账号和密码登陆到应用程序.这样设置之后你可以关闭浏览器，但是不要点击注销按钮.有时候你会发现打开的浏览器不是IE或者Mozilla，而是Appscan浏览器.你可以改变通过设置来改变这个.Tools–>Options –>Advanced,设置OpenIEBrower的值0–Appscan浏览器,1–IE,2–Firefox,3–Chrome.如果该网站的行为在不同的浏览器下有所不同,这个设置将是非常有用的.



图四

Prompt(提示):每次注销之后,Appscan会提示你登陆到应用程序中.如果你打算整个扫描你的系统，你可以选择这个选项.

Automatic(自动)：在这里你可以直接指定用户名和密码,当你需要登陆到应用程序的时候.

@


图五

点击下一步继续.

测试策略

根据你的测试策略,你需要选择最适合你需求的策略,现有的策略都是默认的,仅应用和基础设置，侵入性的，完整的，关键的少数等等.其中大多是使用现有的策略.如果你不希望在登陆时发送测试和注销页面，你可以选择该选项。



图六

点击下一步继续.

[b]全面启动扫描[/b]


AppScan渗透测试工具

图七：完成并开始扫描

选择位置->开始扫描





扫描过程

图八：完成扫描->导出报告



扫描过程

图九：导出报告