這里主要分享如何使用AppScan對(duì)一大項(xiàng)目的部分功能進(jìn)行安全掃描。

------------------------------------------------------------------------?

　　其實(shí)，對(duì)于安全方面的測(cè)試知道的甚少。因?yàn)槟枪久總€(gè)月要求對(duì)產(chǎn)品進(jìn)行安全掃描。掌握了一人點(diǎn)使用技巧，所以拿來(lái)與大家分享。

　　因?yàn)楫a(chǎn)品比較大，功能模塊也非常之多，我們不可能對(duì)整個(gè)產(chǎn)品進(jìn)行掃描。再一個(gè)每個(gè)測(cè)試員負(fù)責(zé)測(cè)試的模塊不同。我們只需要對(duì)自己負(fù)責(zé)測(cè)試的模塊掃描即可。

　　掃描工具自然是IBM?AppScan??，功能強(qiáng)大，使用簡(jiǎn)單。略懂安全測(cè)試的都使用或聽(tīng)說(shuō)過(guò)這個(gè)工具。這里就不過(guò)多介紹了。

?

抽取被掃描功能的鏈接 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??

　　

　　首先要抽取掃描的鏈接。fiddler工具來(lái)抽取。打開(kāi)系統(tǒng)，找到你需要做掃描的功能模塊，開(kāi)啟fiddler攔截功能，然后對(duì)你所要測(cè)試的功能做各種操作，fiddler就會(huì)記錄的所有訪問(wèn)的鏈接，因?yàn)樯婕暗诫[私，所以下圖會(huì)比較模糊。

其實(shí)，請(qǐng)求中有非常多的鏈接，但許多是一樣，我們只要把不一樣的全找出來(lái)就可以了。這里你需要知道每個(gè)連接的情況。也有一些外部鏈接是不需要抽取的。

?

aaa.bbb.cn g2.aaa.bbb.cn g1.aaa.bbb.cn webapp.aaa.bbb.cn uec.aaa.bbb.cn addrapi.aaa.bbb.cn smsrebuild1.aaa.bbb.cn disk2.aaa.bbb.cn mw.aaa.bbb.cn scriptlog.aaa.bbb.cn images.139cm.com appmail.aaa.bbb.cn gfile5-disk.aaa.bbb.cn gfile8-disk.aaa.bbb.cn gfile7-disk.aaa.bbb.cn

把所有鏈接抽取出來(lái)之后就沒(méi)幾個(gè)了。去掉重復(fù)的就沒(méi)多少了。

?

?

?完成配置向?qū)?? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

?

　　下面打開(kāi)appscan創(chuàng)建掃描。（關(guān)于appascan的下載安裝與破解、介紹，我在另一篇博文已講）

選擇常規(guī)掃描，進(jìn)入配置向?qū)?。點(diǎn)擊下一步，進(jìn)入配置

?

上面這一步是重點(diǎn)，起始URL填寫你要掃描的網(wǎng)址。其它服務(wù)器和域：這里把抽取的所有鏈接都添加進(jìn)去。包括后網(wǎng)站的首頁(yè)鏈接。點(diǎn)擊下一步。

?

這里提供三種方式來(lái)記錄帳號(hào)，不多介紹。第一種和第三種最常用。

?

然后點(diǎn)擊幾個(gè)下一步后出現(xiàn)后面的選項(xiàng)，選擇第三個(gè)或第四項(xiàng)完成掃描的配置。

?

?

?錄制掃描腳本 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

?

　　完成配置后，下面就要開(kāi)始錄制腳本了呢。

　　點(diǎn)擊工具欄上的探索按鈕，appscan會(huì)打開(kāi)自帶瀏覽器，輸入系統(tǒng)用戶名密碼登錄系統(tǒng)，對(duì)你要掃描的模塊功能進(jìn)行操作。

上圖為我打開(kāi)的appscan自帶瀏覽器（因?yàn)槲逸斎氲木W(wǎng)址有誤，所以無(wú)法訪問(wèn)）。操作完成之后，點(diǎn)擊暫停按鈕，關(guān)閉瀏覽器窗口即可。

?

　　關(guān)閉瀏覽器后，上面的窗口中會(huì)記錄所有你訪問(wèn)的連接，點(diǎn)擊確定。所有的信息就會(huì)記錄下來(lái)了，下面要做的點(diǎn)擊點(diǎn)擊工具欄上的掃描按鈕開(kāi)始掃描。我們一般晚上下班進(jìn)行，第二天早上來(lái)看掃描結(jié)果就可以了。

?------------------------------------

　　本來(lái)到這里就可以結(jié)束了，我再多說(shuō)個(gè)設(shè)置。呵呵！在手動(dòng)探索的時(shí)候，因?yàn)榇蜷_(kāi)的瀏覽器是appscan自帶的，可能會(huì)存在兼容性問(wèn)題，有些頁(yè)面無(wú)法正常打開(kāi)。那么是否可以用我們電腦上的瀏覽器（IE?、火狐、谷歌）來(lái)進(jìn)行錄制呢了。當(dāng)然是可以的。

菜單欄--工具---選項(xiàng)----高級(jí)

?

這個(gè)一定要大圖，我們只需要修改openExternalBrowser?選項(xiàng)“值”的參數(shù)就可以了（1=IE、2=firefox、3=chrome）。

?-----------------

?

安全測(cè)試挺有前途的，國(guó)內(nèi)起步很晚，這兩年才逐漸受到重視。公司也越來(lái)越重視安全。

轉(zhuǎn)載于:https://www.cnblogs.com/myc618/p/4585292.html

總結(jié)

以上是生活随笔為你收集整理的web安全测试-AppScan使用分享的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。