AppScan 教程
第1章 简介
Web 应用安全测试工具,能对 web 应用程序和 web service 进行安全测试并提供可行的报告
和建议,简单易用。
Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,
从开发阶段的源代码扫描的 AppScan source edition,到针对 Web 应用进行快速扫描的
AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Edition
等。我们经常说的 AppScan 就是指的桌面版本的 AppScan,即 AppScan standard edition。
其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。
识别需要保护的 Web 服务资源
首先我们应评估需要保护的 Web 服务,了解它潜在的安全风险,整理其安全需求,作为后
期的设计实现的基础。以下是笔者整理的检查清单,评估工作具体可以通过回答这些问题来
进行整理。
访问 Web 服务是否需要认证?
是否需要检查服务请求者对 Web 服务的访问权限?
Web 服务是否接受请求者传递的参数?
这些参数是否可行 & 如何校验?
Web 服务请求 / 响应的消息体是否包括敏感信息?
Web 服务的消息体如何传输 & 如何存储?
Web 服务的数据在传输 / 存储时是否需要加密处理?
Web 服务的后端程序是否跟其他第三方应用存在交互,这个过程是否可行?
利用以上这些评估工作的结果,最终形成 Web 服务的安全需求。
第2章 安装与破解
2.1 安装包
安装包找我要。我用的是 9.0 版本,以下也是基于这个版本进行说明。
2.2 AppScan 安装环境要求和检查
为了保证更好的扫描效果,安装 AppScan 的硬件建议配置如下:
表 1. Rational AppScan 安装配置要求
剩余38页未读,继续阅读
资源评论
