安全测试与APPSCAN详解.ppt

保存此次扫描文件 执行探索。 探索完成，可以得到以下界面，在这个界面上可以看到扫描专家将要进行扫描的所有URL，以及URL详情。扫描专家建议，可选择应用或忽略，如无需更改，则可直接进行全面扫描。 扫描过程中，可以点击图中红圈表示的按钮，进入到如下页面，可实时查看扫描出来的 安全问题。页面底端实时更新已测试的元素数及发送的http请求数信息。 Web安全扫描任务完成。 “结果传家”通常在全面扫描之后自动运行，但是它也可以在全面或部分扫描结果上随时手动运行。如果测试时间有限的话，如果结果数量很大的话你可以决定不适用“结果专家”。 创建模板，保存安全报告 * 系统分析：分析被测试系统架构，软件体系以及程序部署 安全建模：明确本系统可能来自的各个潜在威胁 剖析系统：确认有哪些攻击界面 * * * 安全测试与APPSCAN 安全测试简介与流程 Web安全测试 Appscan简介 案例 安全测试简介 什么是安全测试 安全测试是在软件产品的生命周期中，特别是产品开发基本完成到发布阶段，对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程。 安全测试目的 提升产品的安全质量 尽量在发布前找到安全问题予以修补降低成本 度量安全 验证安装在系统内的保护机制能否在实际应用中对系统进行保护，使之不被非法入侵，不受各种因素的干扰 安全测试流程 发现安全漏洞 Web安全测试 什么是web安全测试 Web安全测试即是使用工具，模拟和激发web应用的活动。模拟各种恶意输入，提交到web应用。 常用工具 Appscan Fortify … Appscan简介 工具介绍 扫描原理 工作流程 工具介绍 Appscan是业界第一款领先的web应用安全测试工具，也是唯一一个在所有级别应用上提供全面纠正任务的工具。 Appscan扫描web应用的基础架构，进行安全漏洞测试并提供可行报告与建议。它将配置向导与详细的报表进行了事例，简化使用，增加效率，有利于安全防范和保护web应用基础架构 扫描原理 “Appscan全面扫描”包含两个阶段：探索和测试。 探索 在第一个阶段里，appscan会通过模仿成web用户单击链接并填写表单字段来探索站（web应用程序或web server）这就是探索阶段。探索阶段可以遍历每个URL路径，并分析后创建测试点。 测试 在“测试”期间，appscan会发送它在“探索”阶段创建的成千上万个定制的测试请求，通过你定制好的测试策略分析每个测试的响应，最后根据规则识别应用程序中的安全问题，并排列这些安全问题的风险级别。 Appscan工作流程 案例 启动 AppScan 应用程序，显示主窗体 主窗体内容 菜单栏 工具条 网站导航视图 结果列表 安全问题详细信息视图 如果你是第一次启动，屏幕中央将会出现一个“欢迎”对话框。在此对话中，您可以点击“入门”链接，查看 IBM Rational AppScan 的“新手入门帮助文档” 可以点击“创建新的扫描”来创建您的第一次Web安全扫描任务。 以下例子将选择“常规扫描”举例，点击右侧预定义模板中的“常规扫描”链接，将出现“扫描配置向导”。 这里提供web应用程序和web server的扫描（如果需要web server的扫描必须先下载） 我们显示使用测试案例的Web 站点：http://localhost:8013。也可以使用IBM的测试web站点。点击URL链接后的按钮可以打开APPSCAN浏览器查看网站是否可以正常连接。 在弹出登录提示框时，用于登录这一测试站点的用户名及密码为：admin/admin 选择适当的测试策略 完成配置后启动扫描专家的话，此时会关闭向导，并打开“扫描专家”面板，以评估站点当前的配置。 自动保存 * 系统分析：分析被测试系统架构，软件体系以及程序部署 安全建模：明确本系统可能来自的各个潜在威胁 剖析系统：确认有哪些攻击界面 * * *