安全测试与APPSCAN

1、 安全测试与安全测试与APPSCAN 安全测试与APPSCAN安全测试简介与流程Web安全测试Appscan简介案例安全测试简介什么是安全测试 安全测试是在软件产品的生命周期中，特别是产品开发基本完成到发布阶段，对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程。安全测试目的提升产品的安全质量尽量在发布前找到安全问题予以修补降低成本度量安全验证安装在系统内的保护机制能否在实际应用中对系统进行保护，使之不被非法入侵，不受各种因素的干扰安全测试流程发现安全漏洞Web安全测试什么是web安全测试Web安全测试即是使用工具，模拟和激发web应用的活动。模拟各种恶意输入，提交到web应用。常用

2、工具AppscanFortifyAppscan简介工具介绍扫描原理工作流程工具介绍Appscan是业界第一款领先的web应用安全测试工具，也是唯一一个在所有级别应用上提供全面纠正任务的工具。Appscan扫描web应用的基础架构，进行安全漏洞测试并提供可行报告与建议。它将配置向导与详细的报表进行了事例，简化使用，增加效率，有利于安全防范和保护web应用基础架构扫描原理“Appscan全面扫描”包含两个阶段：探索和测试。探索在第一个阶段里，appscan会通过模仿成web用户单击链接并填写表单字段来探索站（web应用程序或web server）这就是探索阶段。探索阶段可以遍历每个URL路径，并分

3、析后创建测试点。测试在“测试”期间，appscan会发送它在“探索”阶段创建的成千上万个定制的测试请求，通过你定制好的测试策略分析每个测试的响应，最后根据规则识别应用程序中的安全问题，并排列这些安全问题的风险级别。Appscan工作流程案例启动 AppScan 应用程序，显示主窗体主窗体内容菜单栏工具条网站导航视图结果列表安全问题详细信息视图如果你是第一次启动，屏幕中央将会出现一个“欢迎”对话框。在此对话中，您可以点击“入门”链接，查看 IBM Rational AppScan 的“新手入门帮助文档”可以点击“创建新的扫描”来创建您的第一次Web安全扫描任务。以下例子将选择“常规扫描”举例，点

4、击右侧预定义模板中的“常规扫描”链接，将出现“扫描配置向导”。 这里提供web应用程序和web server的扫描（如果需要web server的扫描必须先下载） 我们显示使用测试案例的Web 站点：http:/localhost:8013。也可以使用IBM的测试web站点。点击URL链接后的按钮可以打开APPSCAN浏览器查看网站是否可以正常连接。在弹出登录提示框时，用于登录这一测试站点的用户名及密码为：admin/admin选择适当的测试策略完成配置后启动扫描专家的话，此时会关闭向导，并打开“扫描专家”面板，以评估站点当前的配置。自动保存保存此次扫描文件执行探索。 探索完成，可以得到以下界面，在这个界面上可以看到扫描专家将要进行扫描的所有URL，以及URL详情。扫描专家建议，可选择应用或忽略，如无需更改，则可直接进行全面扫描。扫描过程中，可以点击图中红圈表示的按钮，进入到如下页面，可实时查看扫描出来的 安全问题。页面底端实时更新已测试的元素数及发送的http请求数信息。Web安全扫描任务完成。 “结果传家”通常在全面扫描之后自动运行