AppScan入门教程:扫描配置与安全测试

需积分: 18 31 下载量 152 浏览量 更新于2024-07-14 收藏 1.94MB PPT 举报
"本文档是关于IBM AppScan的入门教程,涵盖了如何使用扫描配置向导进行安全测试。AppScan是一款强大的静态和动态应用程序安全测试工具,用于检测Web应用程序中的漏洞和安全风险。" 在安全测试过程中,AppScan的典型工作流程如下: 1. **选择扫描模板**:首先,根据待测试的应用类型选择合适的扫描模板,这可能是针对Web应用或Web服务的模板。 2. **配置向导**:然后,通过配置向导设定扫描范围。对于Web应用扫描,需要提供起始URL;而对于Web服务扫描,则需提供WSDL文件的位置。 3. **登录指南与测试策略**:如果应用需要登录,可以手动执行登录过程,让AppScan记录并模拟登录。同时,可以选择检测测试策略,以定义扫描的深度和广度。 4. **扫描专家**:在扫描前,可以通过扫描专家检查配置的适当性,根据提示进行调整。 5. **开始扫描**:启动自动扫描后,AppScan将根据设定的参数对目标应用进行全面扫描。 6. **结果检查与手动扫描**:检查扫描结果,补充未被自动扫描到的链接,并进行手工扫描。最后,分析报告,识别出的安全问题需要进行修复工作。 在实例部分,教程以"欧索在线测评平台"为例,指导如何进行扫描配置: - **输入URL**:指定应用的入口URL,例如`http://172.17.100.184:10001/ote.os`,扫描将从此URL开始。 - **URL路径大小写**:默认情况下,AppScan会区分大小写的路径,这意味着大小写不同的链接会被视为独立页面。 - **其他服务器和域**:若应用涉及多个服务器或域,需要确保在配置中包含所有相关服务器或域,以避免遗漏。 - **连接设置**:通常,AppScan使用IE代理设置,但如果需要使用其他代理,可以进行相应配置。 在记录登录过程时,选择"记录(推荐)"模式,AppScan浏览器会打开应用并记录登录步骤。完成登录后,关闭浏览器,AppScan将学习并保存这个过程,以便在扫描时模拟用户登录。 IBM AppScan的扫描配置向导提供了一个简便的途径,帮助用户有效地对Web应用程序进行安全评估,识别潜在的安全风险,并采取措施进行修复,以保障应用程序的安全性。