使用AppScan进行基本的安全测试知识讲解

使用Appscan保障Web应用安全性编写：梁建增Appscan简介IBM Rational AppScan Standard Edition 是一种自动化Web 应用程序安全性测试引擎，能够连续、自动地审查Web 应用程序、测试安全性问题，并生成包含修订建议的行动报告，简化补救过程。

IBM Rational AppScan Standard Edition 提供：核心漏洞支持：包含W ASC 隐患分类中已识别的漏洞——如SQL 注入、跨站点脚本攻击和缓冲区溢出。

广泛的应用程序覆盖：包含集成Web 服务扫描和JavaScript 执行（包括Ajax）与解析。

自定义和可扩展功能：AppScan eXtension Framework 运行用户社区共享和构建开源插件。

高级补救建议：展示全面的任务清单，用于修订扫描过程中揭示的问题。

面向渗透测试人员的自动化功能：高级测试实用工具和Pyscan 框架作为手动测试的补充，提供更强大的力量和更高的效率。

法规遵从性报告：40 种开箱即用的遵从性报告，包括PCI Data Security Standard、ISO 17799 和ISO 27001 以及Basel II。

1.信息系统安全性概述在进行软件安全性检测之前，首先我们应该具备一定的信息系统安全性的知识，在我们对整体范围的信息系统安全性保障有一定认识的前提下，才能决定我们能更好的保障该环境下的软件应用安全性。

计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

从而我们可以得知计算机信息系统的安全性是一个相当复杂且广的课题，通常情况下，计算机信息系统都是以应用性为主题，以实现不同用户群的相应需求实现。

而应用性的实现通常是采用应用软件而达成。

典型的计算机信息系统，包括了机房环境，主机设备，网络交换设备，传输通信媒介，软件系统以及其他相关硬软件，而由于当前信息系统网络的连通性，给安全性问题带来了更大的挑战。

appscan使用教程AppScan 使用教程AppScan 是一款常用的Web应用程序安全扫描工具，它可以帮助开发者识别和修复应用程序中的安全漏洞。

下面是一份简要的AppScan使用教程，旨在帮助您开始使用该工具：1. 下载并安装AppScan：首先，您需要从IBM官方网站下载并安装AppScan。

确保您选择最新版本的工具，并按照安装向导进行操作。

2. 创建扫描任务：启动AppScan后，您将看到一个主界面。

点击“新建扫描任务”按钮，然后输入任务名称和说明。

您还可以选择扫描的目标URL和目标平台（如Web应用程序、移动应用程序等）。

3. 配置扫描设置：在创建任务后，您可以进一步配置扫描设置。

这包括选择使用的扫描引擎、设置并发连接数、定义登录信息、配置扫描速度等。

4. 开始扫描：完成配置后，点击“开始扫描”按钮开始执行扫描任务。

AppScan将开始自动扫描目标应用程序，发现潜在的漏洞和薄弱点。

5. 查看扫描结果：一旦扫描完成，您可以在AppScan中查看扫描结果。

该结果将包含发现的漏洞、详细的漏洞报告、漏洞等级和修复建议。

6. 修复漏洞：根据扫描结果，您可以开始修复发现的安全漏洞。

这可能包括修复代码中的漏洞、更新应用程序的配置和权限设置等。

7. 导出报告：将扫描结果导出为报告以供后续参考。

AppScan提供了多种报告格式，如PDF、HTML、Excel等。

请注意，这只是一个简要的教程，并不能覆盖AppScan的所有功能和细节。

根据您的具体需要，您可能需要深入学习和了解AppScan的其他特性和高级用法。

1.1跟我学IBM AppScan Web安全检测工具——如何应用AppScan软件工具进行安全检测（第1部分）1.1.1新建和定义扫描配置1、新建一个新的扫描启动AppScan后可以在欢迎界面中点击“创建新的扫描”链接，或者选择“文件”菜单中的“新建”子菜单项目。

都将出现下面的“新建扫描”时所需要选择的模板对话框窗口，主要提供有如下类型的模板——常规扫描、快速且简单的扫描、综合扫描、基于参数的导航、WebSphereCommerce、WebSphere Portal、、Hacme Bank、WebGoat v5等。

当然，也可以在欢迎对话框界面中选中已经存在的扫描配置文件，从而重用原有的扫描配置结果。

将出现如下的加载信息可以在此配置文件的基础上继续检测或者显示出以前的检测结果信息。

2、应用某个扫描模板选择一个适合满足检测要求的扫描模板——在模板中包括已经定义好的扫描配置，选择一个模板后会出现配置向导——本示例选择“常规扫描”模板（使用默认模板）。

然后将出现下面的“扫描配置向导”对话框。

扫描配置向导是AppScan工具的核心部分，使用设置向导可以简化检测的配置过程。

目前，在本示例程序中没有下载安装“GSC Web Service记录器”组件，因此目前还不能对“Web Service”相关的程序进行扫描。

如果在Web应用系统中涉及Web Service，则需要下载安装“GSC Web Service记录器”组件。

在“扫描配置向导”对话框中选择扫描的类型，目前选择“Web应用程序扫描”类型选择项目。

然后再点击“下一步”按钮，将出现下面的“URL和服务器”界面。

3、定义URL和服务器在“URL和服务器”界面中，根据检测的需要进行相关的配置定义。

（1）Starting URL（扫描的起始网址）此功能指定要扫描的起始网址，在大多数情况下，这将是该网站的登陆页面或者Web 应用系统的首页面。

Rational AppScan 提供有测试站点（，而登录 站点的用户名和密码为：jsmith / Demo1234），但本示例选择“http://XXX.XX.XX.XXX:3030/”（XX考勤系统）作为检测的起始网址，并选择“仅扫描此目录中或目录下的链接”的选择框，从而可以限制只扫描目标Web应用系统所在的工作目录下的各个链接。

本人英语能力有限，如有错误请见谅。

——译者这个向导是AppScan用户向导手册和AppScan在线帮助的补充（fairyox）。

主要目的是为这个产品做介绍，如果需要更多的资料和详细的说明书请参阅用户手册和在线帮助1安装1.1AppScan安装将AppScan安装保存在计算机中，双击它，然后根据提示操作。

1.2注册文件安装AppScan安装中包括一个允许扫描指定站点的注册文件（见章节1.4），但是不能扫描其他站点。

扫描其他站点需要得到IBM授予的合法注册文件。

这样就可以扫描其他站点并读取和保存扫描模版，否则不能运行其他站点的扫描。

安装扫描文件：1.打开AppScan2.在帮助菜单选择License3.如果已经有注册文件：点Load License File，找到注册文件，点Open。

或者在网上获得注册文件：确认连接好Internet网，点Obtain License Online，然后根据提示操作4.点ok关闭注册对话框。

1.3升级IBM每天升级AppScan的应用弱点数据库。

每次AppScan会自从从IBM搜索、安装升级补丁。

用户也可以随时手动升级：打开AppScan，点击升级，根据提示操作。

1.4AppScan的试用版如果您在使用AppScan的试用版，注册文件只允许您对IBM Rational AppScan定制的测试站点进行测试：AppScan下载：https:///securearea/appscan.aspx测试站点：/用户名：jsmith 密码：demo12342概述2.1主界面AppScan 主界面包括一个菜单栏、工具栏和视图选择，还有三个数据窗口：应用树、结果列表和细节。

下图是主界面在进行数据扫描（扫描前三个数据窗口和统计图是空白的）。

2.2站点扫描的基本原理AppScan 扫描由两个阶段组成：探测和测试。

探测阶段：AppScan 用模拟人为点击链界和填写表格的方式探测站点（应用或者Web 服务）。

1.AppScan介绍⼀.介绍：1.IBM AppScan该产品是⼀个领先的 Web 应⽤安全测试⼯具，曾以 Watchfire AppScan 的名称享誉业界。

Rational AppScan 可⾃动化Web 应⽤的安全漏洞评估⼯作，能扫描和检测所有常见的 Web 应⽤安全漏洞，例如 SQL 注⼊（SQL-injection）、跨站点脚本攻击（cross-site scripting）、缓冲区溢出（buffer overflow）及最新的 Flash/Flex 应⽤及 Web2.0 应⽤曝露等⽅⾯安全漏洞的扫描。

2.Rational AppScan（简称 AppScan）其实是⼀个产品家族，包括众多的应⽤安全扫描产品，从开发阶段的源代码扫描的 AppScan source edition，到针对 Web 应⽤进⾏快速扫描的 AppScan standard edition，以及进⾏安全管理和汇总整合的 AppScan enterprise Edition 等。

我们经常说的 AppScan 就是指的桌⾯版本的 AppScan，即 AppScan standard edition。

其安装在 Windows 操作系统上，可以对⽹站等 Web 应⽤进⾏⾃动化的应⽤安全扫描和测试。

⼆.AppScan ⼯作原理⼩结：通过搜索（爬⾏）发现整个 Web 应⽤结构根据分析，发送修改的 HTTP Request 进⾏攻击尝试（扫描规则库）通过对于 Respone 的分析验证是否存在安全漏三.AppScan核⼼三要素：扫描规则库探索测试四.AppScan 的扫描受到如下因素的影响：⽹站规模（页⾯个数，页⾯参数）扫描策略的选择扫描设置五.⼤型的⽹站，需要从⼏个⽅⾯来优化配置：选择合适的，最⼩化的扫描规则分解扫描任务，把⼀个⼤的扫描任务分解为多个⼩的扫描任务根据页⾯特点，设置可以过滤的类似页⾯（冗余页⾯）六.AppScan 结果⽂件： 同时，对于 AppScan 标准版来说，扫描的配置和结果信息都保存为后缀名为 Scan ⽂件，Scan ⽂件⾥⾯主要包括的内容如下：1. 扫描配置信息：扫描配置信息，如扫描的⽬标⽹站地址，录制的登陆过程脚本等，选择的扫描设置等都保存在 Scan ⽂件中。

AppScan操作⼿册AppScan操作⼿册1.SQL注⼊1.1.什么是sql注⼊所谓SQL注⼊（SQL Injection），就是利⽤程序员对⽤户输⼊数据的合法性检测不严或不检测的特点，故意从客户端提交特殊的代码，从⽽收集程序及服务器的信息，获取想得到的资料（如数据库⽤户名、密码、表结构等）。

SQL注⼊是从正常的WWW端⼝访问，⽽且表⾯看起来跟⼀般的Web页⾯访问没什么区别，所以⽬前市⾯的防⽕墙都不会对SQL注⼊发出警报。

动态⽣成Sql命令时没有对⽤户输⼊的数据进⾏验证是Sql注⼊攻击得逞的主要原因。

1.2.sql注⼊原理攻击者会将⼀些恶意代码插⼊到字符串中，然后会通过各种⼿段将该字符串传递到SQLServer数据库的实例中进⾏分析和执⾏。

只要这个恶意代码符合SQL语句的规则，则在代码编译与执⾏的时候，就不会被系统所发现。

SQL注⼊式攻击的主要形式有两种：⼀是直接将代码插⼊到与SQL命令串联在⼀起并使得其以执⾏的⽤户输⼊变量，由于其直接与SQL语句捆绑，故也被称为直接注⼊式攻击法。

⼆是⼀种间接的攻击⽅法，它将恶意代码注⼊要在表中存储或者作为原数据存储的字符串。

在存储的字符串中会连接到⼀个动态的SQL命令中，以执⾏⼀些恶意的SQL代码。

2.AppScan注册2.1.注册步骤1.将patch.exe⽂件当到APPSCAN的安装⽬录（如：D:\Program Files\IBM\Rational AppScan）下，运⾏。

2.运⾏keygen.exe，⽣成lince.lic⽂件。

打开APPSCAN，帮助-》许可证-》装⼊旧格式（.lic）的许可证，将刚才⽣成的.lic⽂件装载。

3.新建扫描任务3.1.扫描模板选择打开AppScan⼯具，点击“新建”，会弹出⼀个扫描模板选择框，⼀般选择“常规扫描” 或者⾃⼰定义的模板。

下⼀步会进⼊扫描配置向导，选择执⾏的扫描类型，默认是“Web应⽤程序扫描”，点击“下⼀步”，输⼊“起始URL”3.2.登录管理进⼊登录管理，因为有些页⾯需要登录后才能做有效的扫描，这⾥记录的是登录所需信息，便于扫描时能登录应⽤程序。