AppScan安全测试入门：工作流程与实例解析

"本文档是关于使用IBM AppScan进行安全测试的一个入门实例，详细介绍了典型的工作流程，包括选择扫描模板、配置向导、手动登录指南、扫描专家的使用以及手动扫描的步骤。此外，还提供了安全测试实例和扫描配置向导的详细说明，帮助用户理解和操作AppScan工具进行Web应用和Web服务的安全扫描。" IBM AppScan是一款广泛使用的应用程序安全扫描工具，主要用于发现Web应用中的漏洞和安全问题。以下是AppScan典型工作流程的详细说明： 1. **选择扫描模板**：根据待测试的应用类型，选择适合的扫描模板。这有助于预设扫描参数，以匹配特定应用的安全需求。 2. **配置向导**：选择Web应用扫描或Web服务扫描。对于Web应用扫描，需要提供开始的URL；对于Web服务扫描，需输入WSDL（Web服务描述语言）文件的位置，以定义服务的接口和功能。 3. **创建扫描**： - **应用扫描**：a) 输入应用的起始URL；b) 执行手动登录指南，模拟用户登录过程；c) 可选地，调整检测测试策略以优化扫描。 - **Web服务扫描**：a) 提供WSDL文件；b) 可选地，选择检测测试策略；c) 使用Web服务探测器接口自动发送请求，探测服务响应。 4. **扫描专家**：扫描专家用于检查和优化扫描配置。a) 检查用户配置效果，b) 根据提示修改配置，以确保扫描的全面性和准确性。 5. **开始自动扫描**：在确认所有设置后，启动扫描。AppScan会自动遍历指定范围，寻找潜在的安全问题。 6. **结果检查与处理**：扫描完成后，必须进行以下操作：a) 对未发现的链接进行手动扫描；b) 打印或保存报告；c) 根据检测结果进行必要的修复工作。 手动扫描步骤包括：1) 点击“手动检查”，使用内置浏览器浏览网站；2) 探索站点，点击链接，填写输入；3) 关闭浏览器后，确认检查的URL；4) 如果URL列表符合预期，确认继续。 在安全测试实例部分，扫描配置向导提供了更深入的指导，如输入URL、检查URL的正确性、配置大小写敏感性、处理其他服务器和域，以及代理设置。通过选择“记录”模式并成功登录，AppScan可以自动记录登录过程，模拟真实用户行为。 AppScan通过其用户友好的工作流程和配置选项，使得Web应用和Web服务的安全评估变得更为系统化和高效。通过理解并遵循这些步骤，用户能够更有效地识别和解决潜在的安全风险。