AppScan是用于web项目的安全测试工具,扫描网站所有url,自动测试是否存在各种类型的漏洞。
在开始做安全扫描测试之前,需要做如下准备工作:
- 被测web系统的用户名和密码,建议是具有所有页面权限的用户,这样才能测试到所有页面。
- 做好数据库的备份;因为AppScan扫描会注入很多测试数据,甚至注入一些数据,导致系统功能不可用。做好数据库的备份,可以在开发修改问题后,恢复数据库,再次做AppScan的扫描测试。
如下为大家演示,如何在AppScan上操作web项目做安全扫描测试:
首先,打开AppScan软件后,点击左上角文件菜单的新建,在弹窗中,点击常规扫描
在接下来的配置向导中,选择AppScan(自动或手动),点击下一步
URL和服务器配置页面,在起始URL中,填入web项目的域名,或者IP:端口号方式,AppScan会自动做连接测试,在URL下面如果提示绿色字样:已连接到服务器,说明连接正常。
勾选 仅扫描此目录中或目录下的链接;此选项针对服务器有多个web项目的情况;举例:如果我们的网站www.sina.com.cn下面有两个目录test1和test2,当起始URL中输入"http://www.sina.com.cn/test1/"并勾选“仅扫描此目录中或目录下的链接”的时候,AppScan不会扫描“www.sina.com.cn/test2”目录下的所有链接。
勾选 将所有路径作为区分大小写来处理(Unix、Linux等);此选项针对在web项目部署在linux或unix服务上的情况;因为unix或者linux是对大小写敏感的;如果被扫描对象的主机是windows主机,则没有必要勾选此项。
点击下一步
在登录管理配置页面,登录方法选择记录(推荐),点击右侧的记录按钮,在下拉中点击选择使用AppScan浏览器(建议)
在AppScan浏览器中,访问到登录页面,填写正确的用户名和密码,点击登录按钮
登录成功后,点击右下方的我已登录到站点
此时AppScan会分析登录请求,分析成功后,会有绿色的对号,如下图
点击下一步
在测试策略配置页面,通常选择缺省值即可
点击下一步
在完成配置页面,选择启动全面自动扫描,
去掉勾选 完成扫描配置向导后,启动扫描专家。
这里扫描专家会根据探索结果,给出一些建议,也可以不选择扫描专家,直接进行测试;
点击完成按钮,启动探索,如果不勾选扫描专家的话,探索后,会自动进行测试;
如果勾选扫描专家的话,探索后,会停止在扫描专家页面,应用建议后,继续测试。
测试结果如下: