一、安装
1、安装前需要关闭microsoft office的相关程序。
2、根据向导安装即可。(注意选取语言)
要点:
1、关闭个人防火墙
2、安装过程中会提示下载GSC,Gsc是用于扫描web services的,根据情况来决定是否下载。
3、安装还有一种静默安装的方式,通过命令行来安装。(详细参见操作手册)
4、安装完成后提示要注册许可证。不注册许可证的话会影响扫描结果以及不能保存报告。
二、
基本原则
1、扫描阶段:appscan全面扫描三个阶段,探索、测试和扫描。探索构建应用程序树,测试创建上千条定制测试请求,扫描频繁显示站点内的新链接及扫描后的风险信息。
2、扫描项目:appscan可扫描Web应用程序以及Web Service。
三、
配置扫描(常规和高级)
1、向导扫描
关于向导扫描就不在赘述,需注意的是,扫描需要登录的网站建议通过记录登录序列来进行登录扫描。
选择登录后会弹出一个浏览器进行登录操作,登录成功后关闭浏览器即可。后续的配置步骤根据向导提示继续完成。
注:扫描专家(scan Expert)可指导运行简短扫描,以评估特定站点的新配置的效率。
2、手动探索
以下三种情况需要使用手动探索:
(1)为了传递反自动化机制。
(2)为了探索特定的用户进程。
(3)用于在扫描过程中发现了交互式链接,且想要自填数据完成更详细的扫描。
3、调度扫描
调度扫描可以设置为自动启动一次或定期自动启动。在工具菜单栏中。
四、
处理结果
处理结果将安全级别分为四种,高中低参,分配给任何级别的严重性级别都可以通过右键单击节点来进行手动修改。
导出结果可以导出为xml文件或者firebird结构的关系型数据库。
五、
打印报告
点击报告即可根据向导进行PDF的输出。常见报告种类有以下几种:
六、
开发中遇到的常见问题及解决方案
扫描的常见问题及解决方案,在下表汇总出来。
问题 | 解决方案 |
跨站点脚本编制 | XSS过滤器 |
链接注入 | XSS过滤器 |
通过框架钓鱼 | XSS过滤器 |
Sql盲注 | 过滤器+参数的严格验证+参数化sql语句 |
启用了不安全的HTTP方法 | 在web.xml中配置禁用 |
已解密的登录请求 | 1、尽量避免使用pwd,password,username等用户名、邮箱、密码的英文作为控件id。 2、登录、注册一定要采用post提交。 3、通过服务器对传输的参数进行加密(一次一密最佳)。 |
发现可高速缓存的页面 | 在页面头部添加cache-control:no-store |
登录错误消息凭证枚举 | 登录时提示“用户名或密码错误”。尽量不要详细的给出错误信息,以防暴力破解。 |