AppScan使用入门-1.pdf

本人英语能力有限，如有错误请见谅。——译者 这个向导是AppScan 用户向导手册和AppScan 在线帮助的补充（fairyox）。主要目 的是为这个产品做介绍，如果需要更多的资料和详细的说明书请参阅用户手册和在 线帮助 1 11 安装 1.1 AppScan 安装 11..11 AAppppSSccaann 安安装装 将AppScan安装保存在计算机中，双击它，然后根据提示操作。 1.2 注册文件安装 11..22 注注册册文文件件安安装装 AppScan安装中包括一个允许扫描指定站点的注册文件（见章节1.4），但是不能扫 描其他站点。扫描其他站点需要得到IBM授予的合法注册文件。这样就可以扫描其 他站点并读取和保存扫描模版，否则不能运行其他站点的扫描。 安装扫描文件： 1. 打开AppScan 2. 在帮助菜单选择License 3. 如果已经有注册文件：点LoadLicenseFile，找到注册文件，点Open。 或者 在网上获得注册文件：确认连接好Internet网，点Obtain LicenseOnline，然后 根据提示操作 4. 点ok关闭注册对话框。 1.3 升级 11..33 升升级级 IBM每天升级AppScan的应用弱点数据库。每次AppScan会自从从IBM有哪些信誉好的足球投注网站、安 装升级补丁。用户也可以随时手动升级：打开AppScan，点击 升级，根据提 示操作。 1.4 AppScan 的试用版 11..44 AAppppSSccaann 的的试试用用版版 如果您在使用AppScan的试用版，注册文件只允许您对IBMRationalAppScan定制 的测试站点进行测试： AppScan下载： /securearea/appscan.aspx 测试站点： / 用户名： jsmith 密码： demo1234 2 22 概述 2.1 主界面 22..11 主主界界面面 AppScan主界面包括一个菜单栏、工具栏和视图选择，还有三个数据窗口：应用树、 结果列表和细节。下图是主界面在进行数据扫描（扫描前三个数据窗口和统计图是 空白的）。 ViewSelector 视图选择 选择三个按钮中的一个来选择三个窗口数据显示的类型。 Application 应用树 AppScan收集扫描结果时会把他们显示在应用树中；在扫描 Tree 结束时应用树显示所有AppScan 在应用中找到的文件夹、 URL和文件。 ResultList 结果列表 显示应用树中被选节点有关的结果。 DetailPane 细节 显示结果列表中被选项的详细信息，在三个页面分别显示报 告、建议和请求/响应。 Dashboard 统计图 用连续视图的形式显示当前结果。 2.2 站点扫描的基本原理 22..22 站站点点扫扫描描的的基基本本原原理理 AppScan扫描由两个阶段组成：探测和测试。 探测阶段：AppScan 用模拟人为点击链界和填写表格的方式探测站点（应用或者 Web服务）。它分析响应，查找潜在弱点的迹象并利用他们创建“测试请求”。 测试阶段：AppScan在探索期间发送上千个预定的测试请求。记录并分析应用的响 应，辨别安全问题并排列他们的安全级别。 2.3 应用 VS Web服务 22..33 应应用用 VVSS WWeebb服服务务 AppScan能够扫描Web应用和Web服务。 Web