最全AppScan学习教程.pdf

AppScan 教程 第1章简介 Web 应用安全测试工具，能对 web 应用程序和 web service 进行安全测试并提供可行的报告 和建议，简单易用。 Rational AppScan （简称AppScan）其实是一个产品家族，包括众多的应用安全扫描产品， 从开发阶段的源代码扫描的 AppScan source edition ，到针对 Web 应用进行快速扫描的 AppScan standard edition，以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的 AppScan 就是指的桌面版本的 AppScan，即 AppScan standard edition。 其安装在 Windows 操作系统上，可以对网站等 Web 应用进行自动化的应用安全扫描和测试。 识别需要保护的 Web 服务资源 首先我们应评估需要保护的 Web 服务，了解它潜在的安全风险，整理其安全需求，作为后 期的设计实现的基础。以下是笔者整理的检查清单，评估工作具体可以通过回答这些问题来 进行整理。 访问 Web 服务是否需要认证？ 是否需要检查服务请求者对 Web 服务的访问权限？ Web 服务是否接受请求者传递的参数？ 这些参数是否可行 如何校验？ Web 服务请求 / 响应的消息体是否包括敏感信息？ Web 服务的消息体如何传输 如何存储？ Web 服务的数据在传输 / 存储时是否需要加密处理？ Web 服务的后端程序是否跟其他第三方应用存在交互，这个过程是否可行？ 利用以上这些评估工作的结果，最终形成 Web 服务的安全需求。 第2章安装与破解 2.1 安装包 安装包找我要。我用的是 9.0 版本，以下也是基于这个版本进行说明。 2.2 AppScan 安装环境要求和检查 为了保证更好的扫描效果，安装 AppScan 的硬件建议配置如下： 表 1. Rational AppScan 安装配置要求 硬件 最低需求 处理器 Pentium P4，2.4 GHz 内存 2 GB RAM 磁盘空间 30 GB 网络 1 NIC 100 Mbps （具有已配置的TCP/IP 的网络通信） 其中，处理器和内存建议越大越好，而磁盘空间，建议系统盘（一般是 C 盘）磁盘空 间至少保留 10G，如果系统盘磁盘空间比较少，可以考虑把用户文件等保存在其他盘；如默 认的用户文件是：C:\Documents and Settings\Administrator\My Documents\AppScan；可 以修改为其他路径。该路径可以在菜单栏中依次选择工具 - 选项 - 一般 - 文件位置部分 修改。 图 1. 设置文件保存路径 2.3 磁盘要求：修改临时文件路径 有时候大家会发现，已经把上面的地址都修改到了其他盘，但是在扫描过程中，还是会 发现 C 盘的空间快速被消耗，分析原因，是因为很多临时文件都保存在 C 盘，AppScan 中 有一个隐藏的参数 APPSCAN_TEMP 来设置临时文件位置。在扫描过程中，如果系统盘空间比 较下，可以通过修改系统变量来修改到其他硬盘空间。 临时文件位置说明：描述正常操作期间 AppScan 将其临时文件保存到的位置。缺省情 况下，AppScan 将其临时文件存储在以下位置： C:\Documents and Settings\All Users\Application Data\IBM\Rational AppScan\temp 如果需要修改此缺省位置，请按照要求编辑环境变量 APPSCAN_TEMP 的路径。（访问环 境变量的方法是，右键单击我的电脑，然后依次选择属性 高级 环境变量。） 注意：在新位置的路径中绝不能有任何 Unicode 字符。 修改 AppScan 中的临时文件： 1. 桌面上鼠标右键选择 “我的电脑”，选择 “属性” 2. 选择 “高级”， “环境变量” 3. 增加一个新的 “用户环境变量”，名字是 “APPSCAN_TEMP”，设定路径，指向您希 望保存临时文件的目录。 2.4 破解  将 LicenseProvider.dll 替换“..\..\IBM\AppScan Standard”目录下同名文件，许 可证处还是显示演示许可证，但扫描目标已经不受限制了