AppScan安全测试(一)
使用APPSCAN进行安全性检测总结
使用Appscan保障Web应用安全性编写:梁建增Appscan简介IBM Rational AppScan Standard Edition 是一种自动化Web 应用程序安全性测试引擎,能够连续、自动地审查Web 应用程序、测试安全性问题,并生成包含修订建议的行动报告,简化补救过程。
IBM Rational AppScan Standard Edition 提供:核心漏洞支持:包含W ASC 隐患分类中已识别的漏洞——如SQL 注入、跨站点脚本攻击和缓冲区溢出。
广泛的应用程序覆盖:包含集成Web 服务扫描和JavaScript 执行(包括Ajax)与解析。
自定义和可扩展功能:AppScan eXtension Framework 运行用户社区共享和构建开源插件。
高级补救建议:展示全面的任务清单,用于修订扫描过程中揭示的问题。
面向渗透测试人员的自动化功能:高级测试实用工具和Pyscan 框架作为手动测试的补充,提供更强大的力量和更高的效率。
法规遵从性报告:40 种开箱即用的遵从性报告,包括PCI Data Security Standard、ISO 17799 和ISO 27001 以及Basel II。
1.信息系统安全性概述在进行软件安全性检测之前,首先我们应该具备一定的信息系统安全性的知识,在我们对整体范围的信息系统安全性保障有一定认识的前提下,才能决定我们能更好的保障该环境下的软件应用安全性。
计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
从而我们可以得知计算机信息系统的安全性是一个相当复杂且广的课题,通常情况下,计算机信息系统都是以应用性为主题,以实现不同用户群的相应需求实现。
而应用性的实现通常是采用应用软件而达成。
典型的计算机信息系统,包括了机房环境,主机设备,网络交换设备,传输通信媒介,软件系统以及其他相关硬软件,而由于当前信息系统网络的连通性,给安全性问题带来了更大的挑战。
论坛安全测试用例
29
30 管理员登陆 31
32
33
1.进入论坛 2.输入有效用户名 3.输入无效密码 4.点击登录 1.进入论坛 2.输入无效用户名 3.输入有效密码 有效和无效的用户名 4.点击登录 和密码 1.进入论坛 2.输入无效用户名 3.输入无效密码 4.点击登录 1.进入论坛 2.输入有效用户名 3.输入有效密码 4.点击登录 1.进入论坛 2.输入用户名 大小写敏感 3.输入密码 4.点击登录 1.进入论坛 2.输入用户名 可以尝试次数的限制 3.输入密码 4.点击登录 1.进入论坛 2.登录管理员账号 3.不在此网页做任何动作 Web应用系统是否有超 1.进入论坛 时的限制 2.登录管理员账号 3.进入“管理中心” 3.不在此网页做任何动作
用户名:admin 密码:123456
明确了要审核的活动种类
明确了要审核的活动种 类
P
用户名:admin 密码:134567
提示“登录失败,还可以 提示“登录失败,还可 尝试4次” 以尝试4次” 提示“登录失败,还可以 提示“登录失败,还可 尝试3次” 以尝试3次”
P
用户名:amidn 密码:123456
P
搜索框内输入<”tiehua‘>
不易受XSS攻击
搜索,搜索框内出现 “ lt;”tiehua ‘ gt; F ” 易受XSS攻击 “我的”、“设置”、 “消息” 、“提醒”不用再次输 入密码 “门户管理”、“管理 中心”需要再次输入密 码 区分公共访问与授权访 问 需要再次输入密码 还可加入问题验证
24 身份验证
区分公共访问和受限 访问
1.进入论坛 2.登录管理员账号 3.任意选择“我的”、“设 置”、“消息”、“提醒” 之一 4.任意选择“门户管理”、 “管理中心”之一 5.观察网页的响应 1.进入论坛 2.登录管理员账号 3.任意选择“门户管理”、 “管理中心”之一
安全测试工具IBMRationalAppScan中文版的使用教程
安全测试⼯具IBMRationalAppScan中⽂版的使⽤教程AppScan是IBM公司开发的⼀款安全扫描软件,本篇博⽂来简单介绍如何使⽤这个⼯具来创建⼀个测试项⽬。
软件安装包:链接:⼀、打开AppScan软件,点击⼯具栏上的⽂件–> 新建,出现⼀个dialog,如图所⽰:⼆、点击 “Regular Scan”,出现扫描配置向导页⾯,这⾥是选择“Web应⽤程序扫描“,如图:三、点击”下⼀步“,出现URL和服务器的配置页⾯,如图,输⼊需要测试的URL。
四、点击”下⼀步“,出现登录管理的页⾯,这是因为对于⼤部分⽹站,需要⽤户名和密码登录进去才可以查看许多内容,未登录的情况下就只可以访问部分页⾯。
这⾥选择使⽤的登录⽅法是⾃动,即需要输⼊⽤户名和密码。
如果选择的是记录,则需要对登录过程进⾏录⼊,在录⼊的过程中,appscan可以记住⼀些url,⽅便进⾏扫描。
五、点击”下⼀步“,出现测试策略的页⾯,可以根据不同的测试需求进⾏选择,这⾥选择的是”完成(Complete)“,即进⾏全⾯的测试,六、点击”下⼀步“,出现完成配置向导的界⾯,这⾥使⽤默认配置,可根据需求更改,如下图:七、点击”完成“,设置保存路径,即开始扫描,如下图:⼋、待扫描专家分析完毕,点击”扫描 –> 继续完全扫描“即可。
九、等待测试完毕,即可分析结果。
IBM Rational AppScan保存报告时提⽰错误的解决⽅案前提:在使⽤AppScan扫描安全问题后,想要将报告保存,报告总共100多页,环境是win7,AppScan的版本是8.0。
出现的问题:在点击保存报告的时候,并没有任何错误信息,但是在执⾏的过程中,会提⽰“由于出现意外错误,⽆法创建报告”之类的错误,然后报告⽆法保存成功。
解决⽅案:保存为PDF格式的时候,当报告页⾯⽐较多的时候,就会出现这个错误,只需要将格式保存为html即可保存成功。
1.AppScan介绍
1.AppScan介绍⼀.介绍:1.IBM AppScan该产品是⼀个领先的 Web 应⽤安全测试⼯具,曾以 Watchfire AppScan 的名称享誉业界。
Rational AppScan 可⾃动化Web 应⽤的安全漏洞评估⼯作,能扫描和检测所有常见的 Web 应⽤安全漏洞,例如 SQL 注⼊(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应⽤及 Web2.0 应⽤曝露等⽅⾯安全漏洞的扫描。
2.Rational AppScan(简称 AppScan)其实是⼀个产品家族,包括众多的应⽤安全扫描产品,从开发阶段的源代码扫描的 AppScan source edition,到针对 Web 应⽤进⾏快速扫描的 AppScan standard edition,以及进⾏安全管理和汇总整合的 AppScan enterprise Edition 等。
我们经常说的 AppScan 就是指的桌⾯版本的 AppScan,即 AppScan standard edition。
其安装在 Windows 操作系统上,可以对⽹站等 Web 应⽤进⾏⾃动化的应⽤安全扫描和测试。
⼆.AppScan ⼯作原理⼩结:通过搜索(爬⾏)发现整个 Web 应⽤结构根据分析,发送修改的 HTTP Request 进⾏攻击尝试(扫描规则库)通过对于 Respone 的分析验证是否存在安全漏三.AppScan核⼼三要素:扫描规则库探索测试四.AppScan 的扫描受到如下因素的影响:⽹站规模(页⾯个数,页⾯参数)扫描策略的选择扫描设置五.⼤型的⽹站,需要从⼏个⽅⾯来优化配置:选择合适的,最⼩化的扫描规则分解扫描任务,把⼀个⼤的扫描任务分解为多个⼩的扫描任务根据页⾯特点,设置可以过滤的类似页⾯(冗余页⾯)六.AppScan 结果⽂件: 同时,对于 AppScan 标准版来说,扫描的配置和结果信息都保存为后缀名为 Scan ⽂件,Scan ⽂件⾥⾯主要包括的内容如下:1. 扫描配置信息:扫描配置信息,如扫描的⽬标⽹站地址,录制的登陆过程脚本等,选择的扫描设置等都保存在 Scan ⽂件中。
AppScan黑盒安全测试技术介绍
• 开发人员缺乏安全培训和要求
– 64%的开发人员不具备编写安全代码的能力(来自Microsoft Developer Research)
– 开发人员不关心安全
• 缺乏明确的安全策略、流程以及工具
Agenda
• 应用安全现状概览 • 应用安全防御技术简介 • IBM Rational应用安全解决方案 • 案例分析 • Demo
现状:以网络安全思路应对应用安全漏洞
桌面
防火墙
IDS/IPS
Web 应用
DoS
Antispoofing
Web Server Known Vulnerabilities
Cross Site Scripting
Parameter Tampering
Port Scanning
Pattern-
Cookie
Outsourced testing for security audits & production site monitoring
使用AppScan进行基本的安全测试讲解
目录
2
AppScan简介 AppScan扫描 分析扫描结果 验证扫描结果
AppScan简介
3
AppScan是业界第一款并且是领先的web应用安全测试工具包,也是唯 一一个在所有级别应用上提供全面纠正任务的工具。AppScan扫描web 应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。 AppScan的扫描能力,配置向导和详细的报表系统都进行了整合,简化 使用,增强用户效率,有利于安全防范和保护web应用基础架构 。
在这里你可以直接指定用户名和密码,当你需要登陆到应用程序的时候.
AppScan扫描
11
测试策略:选择最适合你需求的策略
AppScan扫描
12
最后一步,选择启动方式之后,完成即配置完毕。 启动全面自动扫描: 启动应用程序的全面扫描(“探索”后将立即进行“测试”)。 使用仅自动“探索”来启动:
探索应用程序,但不继续“测试”阶段。(可以稍后运行“测试”阶段)。 使用手动探索来启动: 浏览器将打开,并且您可以通过单击链接并填写字段来手动探索站点。 AppScan® 将记录结果,以便在“测试”阶段使用。 我将稍后启动扫描:关闭向导,不启动扫描。下次启动扫描时,会使用该模板。
在测试阶段,Appscan通过攻击来测试应用中的漏洞.通过释放出的实际攻击的 有效载荷,来确定在探索阶段建立的安全漏洞的情况.并根据风险的严重程度 排名。 在测试阶段可能会发现网站的新链接,因此Appscan在探索和测试阶段完成之 后会开始另一轮的扫描,并继续重复以上的过程,直到没有新的链接可以测试 。扫描的次数也可以在用户的设置中配置.
设置来改变这个.Tools–>Options –>Advanced,设置OpenIEBrower的值0– Appscan浏览器,1–IE,2–Firefox,3–Chrome.如果该网站的行为在不同的浏览 器下有所不同,这个设置将是非常有用的。 提示:
中国石化AppScan安全测试报告参考模板
中国石化资金集中管理信息系统Web应用安全测试报告1.简介本文针对中国石化资金集中管理信息系统,采用IBM Rational的安全测试产品AppScan进行安全测试,并基于此次测试的结果进行分析。
1.1 中国石化资金集中管理信息系统应用特点中国石化资金集中管理信息系统应用采用Jboss4.2.4作为应用服务器,系统使用基于Spring的Acegi进行安全认证和授权;其中还大量采用了Javascript技术,所有其对于url的解析处理,需要动态进行处理。
1.2 针对中国石化资金集中管理信息系统应用特点的安全测试设置针对于中国石化资金集中管理信息系统应用的以上特点,并结合实际使用情况分为三种场景进行测试,测试内容选择了系统的功能1和功能2:1)使用用户名/密码,但不进行登陆验证:此场景如同一般用户登陆系统,但不进行登陆验证,即不判断针对特殊应用安全的登陆,是否存在安全问题。
2)使用用户名/密码,进行登陆验证:此场景选择正常用户登陆系统,进行登陆验证,即判断针对特殊应用安全的登陆,是否存在安全问题。
3)基于不同角色登陆处理:结合权限较高的admin用户和权限较低的cqusr1用户进行登陆,除了常规的安全的检测,特别还要针对跨权限的安全访问进行判断。
通过以上的配置,结合AppScan的登陆设置就可以了。
2.测试结果简析结合以上的三个场景,针对部分功能进行安全测试后,初步获得以下测试结果。
2.1 整体内容分析3.严重安全问题分析及修改建议3.1 XSS跨站点脚本攻击漏洞问题概述:黑客可以应用此漏洞,获取最终用户信息,并基于此进行伪装,进行攻击。
url:http://10.1.19.92:40001/wfProject/jsp/app/sinopec/wf/loan/commission edLoanApply.jsphttp://10.1.19.92:40001/wfProject/jsp/app/sinopec/wf/loan/loanApply. jsphttp://10.1.19.92:40001/wfProject/jsp/app/sinopec/wf/tongye/RMBOverd raftApply.jsphttp://10.1.19.92:40001/wfProject/jsp/app/sinopec/wf/tongye/RMBchaij ieApply.jsp测试方式:在参数中增加javascript:alert(134108)处理,可执行url修改方法:修改对于参数的处理,将无效值进行排除。
Appscan安全漏洞扫描使用(转)
Appscan安全漏洞扫描使⽤(转)这⾥主要分享如何使⽤AppScan对⼀⼤项⽬的部分功能进⾏安全扫描。
------------------------------------------------------------------------ 其实,对于安全⽅⾯的测试知道的甚少。
因为那公司每个⽉要求对产品进⾏安全扫描。
掌握了⼀⼈点使⽤技巧,所以拿来与⼤家分享。
因为产品⽐较⼤,功能模块也⾮常之多,我们不可能对整个产品进⾏扫描。
再⼀个每个测试员负责测试的模块不同。
我们只需要对⾃⼰负责测试的模块扫描即可。
扫描⼯具⾃然是IBM AppScan ,功能强⼤,使⽤简单。
略懂安全测试的都使⽤或听说过这个⼯具。
这⾥就不过多介绍了。
抽取被扫描功能的链接 ⾸先要抽取扫描的链接。
fiddler⼯具来抽取。
打开系统,找到你需要做扫描的功能模块,开启fiddler拦截功能,然后对你所要测试的功能做各种操作,fiddler就会记录的所有访问的链接,因为涉及到隐私,所以下图会⽐较模糊。
其实,请求中有⾮常多的链接,但许多是⼀样,我们只要把不⼀样的全找出来就可以了。
这⾥你需要知道每个连接的情况。
也有⼀些外部链接是不需要抽取的。
把所有链接抽取出来之后就没⼏个了。
去掉重复的就没多少了。
完成配置向导 下⾯打开appscan创建扫描。
(关于appascan的下载安装与破解、介绍,我在另⼀篇博⽂已讲)选择常规扫描,进⼊配置向导。
点击下⼀步,进⼊配置上⾯这⼀步是重点,起始URL填写你要扫描的⽹址。
其它服务器和域:这⾥把抽取的所有链接都添加进去。
包括后⽹站的⾸页链接。
点击下⼀步。
这⾥提供三种⽅式来记录帐号,不多介绍。
第⼀种和第三种最常⽤。
然后点击⼏个下⼀步后出现后⾯的选项,选择第三个或第四项完成扫描的配置。
录制扫描脚本 完成配置后,下⾯就要开始录制脚本了呢。
点击⼯具栏上的探索按钮,appscan会打开⾃带浏览器,输⼊系统⽤户名密码登录系统,对你要扫描的模块功能进⾏操作。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
扫描配置
• 探索选项
备注:
1、“扫描限制”确定AppScan探索应 用程序的深度(或速度)
2、“JavaScript” 和“Flash”选项确 定AppScan应该忽略还是扫描这些 脚本
3、“探索方法”确定继续下一个页面 之前AppScan是探索页面上的所有 链接,还是探索它所找到的每个新 链接。
*手动扫描
1、点“手动检查”:打开浏览器 2、了解站点,点击链接填入输入需要的地址 3、结束时关闭浏览器:一个检查URL对话框出现 4、如果列表符合要求,点击确定
目录
• 典型工作流程 • 安全测试实例——“欧索在线测评平台”
安全测试实例
• 扫描配置向导 • 扫描配置 • 完全扫描
扫描配置向导
• URL和测试策略与 扫描配置向导中内容相近,这里不需
要再重新配置了。
扫描配置
• 环境定义
备注: 1、环境定义并不重要,但是 可
以使AppScan在扫描期间以 安全的方式避免发送无关测 试, 使得扫描更加迅速和 精确。 2、每个选项可以选择多项。
扫描配置
• 排除路径和文件
安全测试实例
• 扫描配置向导 • 扫描配置 • 完全扫描
自动扫描
• 点击扫描配置界面的【确定】按钮 • 点击扫描配置向导界面“启动全面自动扫描”,点击【完
成】按钮 • 保存扫描:人才测评.scan • 开始:扫描专家评估扫描
自动扫描
• 点击工具栏的 按钮,开始完全扫描。
谢
谢!
扫描配置
• 自动表单填充
备注: 1、自动表单填充是指AppScan填充应 用程序中的表单所用的值。许多表单存 在缺省值,并且这些值会自动更新以包 含在“记录的登录”期间输入的任何值。
扫描配置
• 多步骤操作
备注: 1、应用程序某些部分只能通过按特定 顺序发送请求才能达到的情况下使用。 2、通过“多步骤操作”,可以记录和 管理一个或多个此类序列。
输入URL地址: http://172.17.100.184:10001/ote.o s
备注: 1、从该URL启动扫描:输入应用程序的URL,扫描
会从该URL开始 2、要检查输入的“起始URL”是否正确,可以在
AppScan浏览器中查看所输入的URL 3、区分大小写路径:选中该复选框时(缺省),
仅因大小写而有区别的链接将被视为不同的页 面。 4、其他服务器和域:如果应用程序包含的服务器 或域不同于“起始URL”包含的服务器或域, 但AppScan许可证包含这些服务器或域,那么 您必须将它们添加到此处,以便将它们包含在 扫描中。 5、我需要配置其他连接设置:缺省情况下 AppScan会使用IE代理设置,仅当想要 AppScan使用其他代理时选中该复选框。
AppScan安全测试(一)
——朱晟、徐春梅
目录
• 典型工作流程 • 安全测试实例——“欧索在线测评平台”
典型工作流程
1、选择一个扫描模板
2、打开配置向导并选择Web应用扫描和Web服务扫描中的一种。
3、用向导创建扫描:
为应用扫描:
为Web服务扫描
a.填入开始的URL
a.填入WSDL文件位置
b.(推荐)手动执行登录指南
扫描配置向导
• 登录管理
选择默认的“记录(推荐)”方式,点 击【记录】按钮,AppScan浏览器会 打开扫描的启示URL,成功登陆后, 关闭该浏览器。
备注: 1、记录(推荐):如果选择该选项,AppScan将使 用
您记录的登录过程,像实际用户一样填充字段并 单击链接。这是建议的登录方法。 2、提示:如果每次登录都需要人机交互(如验证 码),则选择“提示”。在这种情况下,必须仍 然记录登录过程,虽然AppScan不会使用记录的 过 程来尝试登录,但是他需要将该过程作为参考来 了解何时已被注销。 3、自动:如果AppScan可仅使用名称和密码来登录, 而不需要特定的过程,选择该选项,输入“用户 名”“密码”。 4、无:仅当应用程序不需要登录时,或因为其他原 因,不想AppScan登录时,才选择该选项。
安全测试实例
• 扫描配置向导 • 扫描配置 • 完全扫描
扫描配置
• 在很多缺省选项都不需要更改时,“扫描配置向导”是配 置和启动扫描的最简单方法。但是,如果需要更改高级选 项,那么要使用“扫描配置”。
• 扫描配置对话框会提供配置扫描的很多选项,通过“扫描 配置向导”也可获得主要的选项。
• 在工具栏上,单击扫描配置图标 或者单击“扫描配 置向导”左下角的“完全扫描配置”链接,即可打开扫描 配置界面。
扫描配置
• 参数和cookie
备注: 1、用于管理由AppScan从应用程序所 接
收到的参数和cookie的全局列表, 以及自己的定制参数。 2、“探索”阶段,AppScan自动检测 可 能是会话标识的cookie和HTML参数, 并将其添加到此列表。可以手动添 加知道是会话标识的cookie和参数。 3、应用程序可能具有某些参数和 cookie,如果测试期间,不希望 AppScan控制他们的值,要确保 AppScan没有更改这些参数和 cookie, 请从测试中排除。
学员测评,必须登录后才可以参与,必须考完试后才可 以查看测评结果;则必须进行多步骤操作:先登录,在 参与考试,考完试后才可以查看测评结果。
扫描配置
• 通信和代理
备注: 1、超时:设置AppScan等待来 自
Web服务器的响应的时间限制。 2、线程数:如果发现AppScan 发
出的高速请求使网络或服务器 超负载(超出其能力范围), 那么减少该数目。
备注: 1、可以配置AppScan以忽略应用 程
序中某些路径或文件的特定类 型。但是应该谨慎应用排除, 因为它们可能具有重要问题。 2、可以通过将URL(可能包括查询 的完整路径)或“正则表达式” 添加到排除或包括路径列表, 来过滤“探索”阶段的作用域。 3、可以配置AppScan以忽略扫描 期 间的特定文件类型。例如,如 果排除了图形文件,那么扫描 将会运行得更快,但是应该谨
b.(可选)检测测试策略
c.(可选)检测测试策略
c.在AppScan录入用户输入和回复时,
用自动打开的Web服务探测器接口发
送请求到服务端。
4、(可选)扫描专家
a.打开扫描专家来检查用户为应用扫描配置的效果
b.检查提示配置改变并选择合适的。
5、开始自动扫描
典型工作流程
6、检查结果并(必需):
• 为没有发现的链接额外执行手工的扫描 • 打印报告 • 检测纠正工作
描(“探索”后将立即进行“测试”)。 2、仅使用自动“探索”启动:探索应用程序,
但不继续“测试”阶段(可以稍后运行“测 试阶段”)。 3、使用“手动探索”启动:会打开浏览器,可 以单击链接并填充字段,以手动探索站点。 AppScan将记录结果,以便在“测试”阶段 使用。 4、我将稍后启动扫描:关闭向导,不启动扫描。 下次启动扫描时,会使用该模板。 • 完成“扫描配置向导”后启动“扫描专家”: (只有已选择前三个扫描选项之一时,该复选 框才是活动的)如果希望“扫描专家”主扫 描启动前评估配置,选择该复选框。
扫描配置向导
• 测试策略
备注: 检查“测试策略”是否适合需要。(如果不
能肯定,保持“缺省测试策略”)。
测试策略选择:Default
扫描配置向导
• 完成
选择“启动全面自动扫描”,勾选中“完 成‘扫描配置向导’后启动‘扫描专 家’”。
备注: • 选择以下某个选项: 1、启动全面自动扫描:启动应用程序的全面扫