没有合适的资源?快使用搜索试试~ 我知道了~
AppScan开始使用手册
5星 · 超过95%的资源 需积分: 10 11 下载量 32 浏览量
2012-07-18
16:07:56
上传
评论
收藏 1.77MB PDF 举报
温馨提示
试读
12页
AppScan 是专门面向 Web 应用安全检测的自动化工具,是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具。它不但可以简化企业发现和修复 Web 应用安全隐患的过程(这些工作以往都是由人工进行,成本相对较高,效率低下),还可以根据发现的安全隐患,提出针对性的修复建议,并能形成多种符合法规、行业标准的报告,方便相关人员全面了解企业应用的安全状况。 利用 Rational AppScan,应用程序开发团队在项目交付前,可以对所开发的应用程序与服务进行安全缺陷的扫描,自动化检测 Web 应用的安全漏洞,从网站开发的起始阶段就扫除 Web 应用安全漏洞
资源推荐
资源详情
资源评论
本人英语能力有限,如有错误请见谅。 —— 译者
这个向导是 AppScan 用户向导手册和 AppScan 在线帮助的补充( fairyox
) 。主要目
的是为这个产品做介绍,如果需要更多的资料和详细的说明书请参阅用户手册和在
线帮助
1
1
1
1
安装
1.1
1.1
1.1
1.1
AppScan
AppScan
AppScan
AppScan
安装
安装
安装
安装
将 AppScan 安装保存在计算机中,双击它,然后根据提示操作。
1.2
1.2
1.2
1.2
注册文件安装
注册文件安装
注册文件安装
注册文件安装
AppScan 安装中包括一个允许扫描指定站点的注册文件(见章节 1.4
) ,但是不能扫
描其他站点。 扫描其他站点需要得到 IBM 授予的合法注册文件。 这样就可以扫描 其
他站点并读取和保存扫描模版,否则不能运行其他站点的扫描。
安装扫描文件:
1. 打开 AppScan
2. 在帮助菜单选择 License
3. 如果已经有注册文件:点 Load License File ,找到注册文件,点 Open 。
或者
在网上获得注册文件:确认连接好 Internet 网,点 Obtain License Online ,然后
根据提示操作
4. 点 ok 关闭注册对话框。
1.3
1.3
1.3
1.3
升级
升级
升级
升级
IBM 每天升级 AppScan 的应用弱点数据库。每次 AppScan 会自从从 IBM 搜索、安
装升级补丁。用户也可以随时手动升级:打开 AppScan ,点击 升级,根据提
示操作。
1.4
1.4
1.4
1.4
AppScan
AppScan
AppScan
AppScan
的试用版
的试用版
的试用版
的试用版
如果您在使用 AppScan 的试用版,注册文件只允许您对 IBM Rational AppScan 定 制
的测试站点进行测试:
AppScan 下载: https://www.watchfire.com/securearea/appscan.aspx
测试站点: http://demo.testfire.net/
用户名: jsmith
密码: demo1234
2
2
2
2
概述
2.1
2.1
2.1
2.1
主界面
主界面
主界面
主界面
AppScan 主界面包括一个菜单栏、工具栏和视图选择, 还有三个数据窗口: 应用树
、
结果列表和细节。下图是主界面在进行数据扫描(扫描前三个数据窗口和统计图是
空白的) 。
2.2
2.2
2.2
2.2
站点扫描的基本原理
站点扫描的基本原理
站点扫描的基本原理
站点扫描的基本原理
AppScan 扫描由两个阶段组成:探测和测试。
探测阶段: AppScan 用模拟人为点击链界和填写表格的方式探测站点(应用或者
Web 服务) 。它分析响应,查找潜在弱点的迹象并利用他们创建 “ 测试请求
”
。
测试阶段: AppScan 在探索期间发送上千个预定的测试请求。记录并分析应用的响
View Selector
视图选择
选择三个按钮中的一个来选择三个窗口数据显示的类型。
Application
Tree
应用树
AppScan 收集扫描结果时会把他们显示在应用树中;在扫 描
结束时应用树显示所有 AppScan 在应用中找到的文件夹、
URL 和文件。
Result List
结果列表
显示应用树中被选节点有关的结果。
Detail Pane
细节
显示结果列表中被选项的详细信息, 在三个页面分别显示 报
告、建议和请求 / 响应。
Dashboard
统计图
用连续视图的形式显示当前结果。
应,辨别安全问题并排列他们的安全级别。
2.3
2.3
2.3
2.3
应用
应用
应用
应用
VS
VS
VS
VS
Web
Web
Web
Web
服务
服务
服务
服务
AppScan 能够扫描 Web 应用和 Web 服务。
Web
Web
Web
Web
应用: 在应用的情况下,它会在开始的 URL 和注册认证方面进行充分的安全
扫描以保证能够测试站点。如果有必要也可以手动运行站点,以扩大安全扫描到只
有用户手动才能涉及到的范围。
Web
Web
Web
Web
服务: 在 Web 服务的情况下, IBM 特殊工具 “ Web Services Explorer ” 创建 一
个简单的界面显示可连接的服务和输入参数及结果。 过程是 AppScan 录制和为服 务
创建测试。
2.4
2.4
2.4
2.4
典型流程
典型流程
典型流程
典型流程
1. 选择一个扫描模板。
2. 打开配置向导并选择 Web 应用扫描和 Web 服务扫描中的一种。
3. 用向导创建扫描:
为应用扫描:
a. 填入开始的 URL 。
b. (推荐)手动执行登陆指南。
c. (可选)检查测试策略。
为 Web
Web
Web
Web
服务扫描:
a. 填入 WSDL 文件位置。
b. (可选)检查测试策略。
c. 在 AppScan 录制用户输入和回复时, 用自动打开的 Web 服务探测器借口 发
送请求到服务端。
4. (可选)扫描专家
a. 打开扫描专家来检查用户为应用扫描配置的效果。
b. 检查提示配置改变并选择适用的。
注意: 你也可以配置扫描专家执行分析,然后在开始扫描时适用一些它的一些
建议。
5. 开始自动扫描。
6. 检查结果并(必需) :
为没有发现的链接额外执行手工的扫描
打印报告
检查纠正工作
3
3
3
3
扫描配置向导
用配置向导指导涉及到应用扫描配置的质量。 为高级配置方式和 Web 服务扫描配 置
的详细资料有关的 AppScan 用户指导或在线帮助。
剩余11页未读,继续阅读
资源评论
- asdfff11232013-05-28中文手册,对初学者帮助很大。谢谢
doyamomo
- 粉丝: 1
- 资源: 3
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功