AppScan安全测试：扫描配置与向导详解

"本文档介绍了如何使用IBM AppScan进行安全测试，特别是关于扫描配置的细节。AppScan是一款强大的静态和动态应用安全测试工具，能够帮助检测Web应用中的安全漏洞。扫描配置是设置扫描参数和定制扫描行为的关键步骤，以确保测试的全面性和准确性。" 在AppScan的安全测试过程中，扫描配置扮演着至关重要的角色。首先，可以通过“扫描配置向导”快速设定基本的扫描选项，这对于许多默认设置已经足够的情况非常适用。向导引导用户输入开始的URL或WSDL文件位置，可以选择Web应用扫描或Web服务扫描，并可自定义登录指南、测试策略等。对于更高级的设置，用户可以进一步使用“扫描配置”对话框，这里提供了更多的选项来微调扫描行为。 在“扫描配置向导”中，用户需要输入应用程序的URL以开始扫描，同时AppScan会检查输入的URL是否正确。大小写路径的选择会影响扫描识别不同页面的方式。如果应用程序跨越多个服务器或域，需要确保将它们全部添加到扫描范围中。此外，连接设置允许用户指定代理，通常默认使用IE代理，但在特殊情况下可选择其他代理。 登录过程的记录是扫描配置的一个重要环节。用户可以选择“记录”模式，让AppScan模拟真实用户的行为，自动填充表单字段并点击链接以完成登录。这种方式确保了扫描能覆盖到登录后的安全区域。 扫描完成后，用户需要检查扫描结果，可能需要对未发现的链接进行手动扫描，并根据发现的问题进行检测和纠正工作。此外，生成的报告可以用于分析和分享扫描结果。 在“完全扫描配置”中，用户可以细化设置，例如选择特定的测试策略，设置扫描深度，调整线程数量，以及启用或禁用某些类型的测试，以适应特定的应用环境和安全需求。 AppScan的安全测试包括选择适当的扫描模板，配置扫描向导，记录登录过程，以及检查和处理扫描结果。有效的扫描配置能确保测试的全面性，提高发现潜在安全漏洞的可能性，从而提升应用程序的安全性。