AppScan

1 安装

1.1 AppScan 安装

将 AppScan 安装保存在计算机中，双击它，然后根据提示操作。

1.2 注册文件安装

AppScan 安装中包括一个允许扫描指定站点的注册文件（见章节 1.4），但是不能扫 描其他站点。扫描其他站点需要得到 IBM 授予的合法注册文件。这样就可以扫描其 他站点并读取和保存扫描模版，否则不能运行其他站点的扫描。 安装扫描文件： 1. 打开 AppScan 2. 在帮助菜单选择 License 3. 如果已经有注册文件：点 Load License File，找到注册文件，点 Open。    或者    在网上获得注册文件：确认连接好 Internet 网，点 Obtain License Online，然后    根据提示操作 4. 点 ok 关闭注册对话框。

1.3 升级

IBM 每天升级 AppScan 的应用弱点数据库。每次 AppScan 会自从从 IBM 搜索、安

装升级补丁。用户也可以随时手动升级：打开 AppScan，点击

示操作。

升级，根据提

1.4 AppScan 的试用版

如果您在使用 AppScan 的试用版，注册文件只允许您对 IBM Rational AppScan 定制 的测试站点进行测试：

AppScan下载：

https://www.watchfire.com/securearea/appscan.aspx

 

 

 

 

 

 

 

 

                AppScan 功能简介及使用说明

测试站点：

用户名： 密码：

http://demo.testfire.net/

jsmith demo1234

2 概述

2.1 主界面

AppScan 主界面包括一个菜单栏、工具栏和视图选择，还有三个数据窗口：应用树、 结果列表和细节。下图是主界面在进行数据扫描（扫描前三个数据窗口和统计图是 空白的）。

View Selector

Application Tree

Result List

Detail Pane

Dashboard

视图选择

应用树

选择三个按钮中的一个来选择三个窗口数据显示的类型。

AppScan 收集扫描结果时会把他们显示在应用树中；在扫描 结束时应用树显示所有 AppScan 在应用中找到的文件夹、 URL 和文件。

显示应用树中被选节点有关的结果。

显示结果列表中被选项的详细信息，在三个页面分别显示报 告、建议和请求/响应。

用连续视图的形式显示当前结果。

结果列表

细节

统计图

2.2 站点扫描的基本原理

AppScan 扫描由两个阶段组成：探测和测试。 探测阶段：AppScan 用模拟人为点击链界和填写表格的方式探测站点（应用或者 Web 服务）。它分析响应，查找潜在弱点的迹象并利用他们创建“测试请求”。 测试阶段：AppScan 在探索期间发送上千个预定的测试请求。记录并分析应用的响

应，辨别安全问题并排列他们的安全级别。

2.3 应用 VS Web 服务

AppScan 能够扫描 Web 应用和 Web 服务。 Web 应用：在应用的情况下，它会在开始的 URL 和注册认证方面进行充分的安全 扫描以保证能够测试站点。如果有必要也可以手动运行站点，以扩大安全扫描到只 有用户手动才能涉及到的范围。 Web 服务：在 Web 服务的情况下，IBM 特殊工具“Web Services Explorer”创建一 个简单的界面显示可连接的服务和输入参数及结果。过程是 AppScan 录制和为服务 创建测试。

2.4 典型流程

1. 选择一个扫描模板。 2. 打开配置向导并选择 Web 应用扫描和 Web 服务扫描中的一种。 3. 用向导创建扫描：    为应用扫描：    a. 填入开始的 URL。    b. （推荐）手动执行登陆指南。    c. （可选）检查测试策略。    为 Web 服务扫描：    a. 填入 WSDL 文件位置。    b. （可选）检查测试策略。    c. 在 AppScan 录制用户输入和回复时，用自动打开的 Web 服务探测器借口发       送请求到服务端。 4. （可选）扫描专家    a. 打开扫描专家来检查用户为应用扫描配置的效果。    b. 检查提示配置改变并选择适用的。    注意：你也可以配置扫描专家执行分析，然后在开始扫描时适用一些它的一些    建议。 5. 开始自动扫描。 6. 检查结果并（必需）：  为没有发现的链接额外执行手工的扫描  打印报告  检查纠正工作

3 扫描配置向导

用配置向导指导涉及到应用扫描配置的质量。为高级配置方式和 Web 服务扫描配置 的详细资料有关的 AppScan 用户指导或在线帮助。

配置扫描： 1. 开始 AppScan    出现的欢迎屏幕

2. 点击创建新扫描（Create New Scan）    打开的新扫描对话框。

3. 在预先确定的模板区域内，点“Default”来使用默认模板。（如果使用 AppScan 扫描    一些有规定模板的站点，请选择那个模板：Demo.Testfire，Fvoundstone 或者 WebGoat。）    扫描配置向导欢迎。    注意：如果 AppScan 已经打开，可以通过点击“New”启动向导，然后点击“OK”。 4. 选择 Web 应用扫描“Web Application Scan”然后点“Next”执行三个步骤中的第一个 。 5. 在起始 URL 框中填入应用的 URL。

6. 7.

8.

9. 10. 11.

12.

13. 14.

15.

16.

注意：如果需要添加另外的服务器或域点击“Advanced”按钮。 点击“Next”进行向导的第二步。 在单选按钮中选择录制注册“Recorded Login”，然后点击“New”。 显示出一个描述步骤的信息。 点击“OK”。 在交点离开录制按钮的同时浏览器打开。 浏览器打开到注册页面，录制一段正规的注册流程，然后关闭浏览器。 在会话信息对话框中，检查注册流程，然后点击“OK”。 点击“Next”执行向导中的第三步。 在这一步中需要检查扫描运用的测试策略（比如用的哪一种扫描类别）。 注意：系统默认所有非侵入性测试将被执行。 注意：使用“Advanced”按钮可以控制其他的测试选项，包括特殊增加（对没有足 够权限的用户容易涉及到的保密资源范围进行测试）和多项扫描。 在检查框默认选择“In Session Detection”，测试信息中响应是“in-session”的会突出 显示。在扫描过程中，AppScan 发送心跳信息请求，检查这个测试的响应来确定它是 否登陆（有必要的话重新登陆）。检查测试突出是否是正式会话的真实证据。 点击“Next”。 选择适当的单选按钮开始自动扫描（开始全面自动扫描） 和手动检查同时或延后，（只 有在点击工具栏上开始按钮的图表后才开始）。 （可选）当用户结束向导时默认选择扫描专家检查栏以便启动扫描专家。用户也可以 清除此项进入扫描步骤。 点击“Finish”关闭向导。

4 扫描专家

当完整的运行过扫描向导之后，用户可以使用扫描专家运行一个简短的扫描来评估 一下新配置对用户指定应用的工作效率。 扫描专家栏在界面中打开，当扫描专家检查站点时应用树在应用拦中显示。

在短暂评估结束的时候，扫描专家建议用户改变成能够适用的配置。

用户可以查看这些意见并选择接受或者拒绝，或者自动选择更改。 注意：有些更改扫描专家只有在手动操作下才会适用，所以当用户选择自动选择时 ， 有些建议可能不适用。

5 执行扫描

当扫描开始，进度栏（在界面上部显示）和状态栏（在界面的下部显示）提供扫描 的详细资料，并且应用树和结果列表随执行进度实时显示。

5.1 进度栏

进度栏跟踪扫描的阶段（顶部右边），扫描的 URL 和参数（底部左边）。

如果在扫描的过程中发现新的链接（或者多相扫描被激活）一个新增的扫描阶段在 前一个阶段结束后自动开始。在新的链接扫描开始后新阶段可能比前一阶段短很多， 特别注意进度栏中可能也显示发现的问题（甚至服务器停止“Server Down”）。 扫描完成时进度栏关闭。

5.2 状态栏摘要

状态栏在界面的底部，显示当前运行扫描读取的详细信息（实时显示）。

注意：当 AppScan 发现新链接的时候，扫描显示测试的总数或者被访问 URL 数量 可能会增加。

6 结果

结果在三个视图中显示。通过视图选择上的按钮选择视图（默认为问题视图）。这三 个视图中显示的数据会随选择的视图不同而改变。

从宏观到特定的请求/响应显示发现的实际问题。 应用树：完整应用树。计数器显示每一项所发现的问 题数。 结果列表：显示所选树中节点的问题列表。显示问题 的优先级别。 详细资料栏：显示在结果列表上所选问题的顾问信息、 修改建议、请求/响应（包括一些多样的）。

提供一个修改扫描中发现问题的详细修改意见表。 应用树：完整应用树。计数器显示每一项所提供的修 改意见数。 结果列表：列出树中所选节点的意见列表。显示意见 的优先级别。

安全 问题 视图

修改 工作 视图

详细资料栏：显示结果栏中所选择修改意见和的详细 资料和问题的详细分析。

显示检查执行期间的脚本参数、交互的 URL、访问的 URL、错误链接、过滤 URL、注释、Java 脚本和控件。 应用树：完整应用树。 结果列表：对结果列表栏上面可选列表进行过滤，以 确定显示哪一项的详细信息。 详细资料栏：结果列表中所选项的详细信息。

应用 数据

严重等级 结果列表会显示应用树中所选择节点的问题。这些可以是： 基本级（显示所有站点问题） 页面级（显示所有页面问题） 参数级（显示所有特定页面特定请求的问题） AppScan 给每一个发现的问题分配四个严重等级中的一个：

高严重级别

中严重级别

低严重级别

报告安全问题 注意：这一类只适用于窗口问题。在修正窗口所有比中严重级别低的都属于 低严重级别。

注意：分配给问题的严重等级可以手动更改。

6.1 安全问题

在安全问题窗口，被选择的问题弱点的详细资料显示在资料栏。详细信息显示在三 个选择页中：

Advisory Tab

Fix Recommendations

Request/Response

报告

修改建议

请求/响应

显示 AppScan 报告，一般包括：测试名称、 安全风险、原因、影响、技术描述和参考。

显示 AppScan 对问题的修改意见。

显示 AppScan 向应用发送的测试请求和得 到的回复（以浏览器或者 HTML 形式查看）。 多样的：如果有另类的（向相同 URL 发送 的不同参数），它可以通过点击页面上的 “and”按钮查看。用户通过三个选择页的 右边查看多样的详细信息，可以在扫描结果 中添加标注或注释。

6.2 修改工作

选择的 URL 或参数的修改工作在详细信息栏中的修改工作视图中显示。

6.3 应用数据

应用数据要保证可用，即使 AppScan 只完成了检查阶段。 用结果列表顶端的可选列表过滤数据。

7 报告

工具栏上的报告图标使用户可以选择三种报告模板之一，并且设置生成报告模板的 内容和布局。

扫描中发现的安全问题报告。有五个可选项： 概要：图表和表格形式的统计概要。 细节：在概要中增加所有细节。 修改：要求修改的工作列表一决定发现的问题。 开发：问题列表，修改工作和应用资料。 QA：报告列表和修改建议，应用资料和访问的 URL。QA 站点清单：站点列表和应用资料。

为使用所选择的行业委员会标准的用户提供其内容（比如 OWASP Top10、SANS Top 20、WASC 等 ）。 如果有必要用户可以创建并根据自己习惯检查标准检查列表（详 见用户指导）。

为使用在规则或者官方标准中选择标准的用户提供其内容（比如 HIPAA、GLBA、COPPA、SOX、加州 SB1386 和 AB1950、欧洲 的 1995/46/EC）。 如果有必要用户可以创建并根据自己习惯检查标准并修改标准模 板（详见用户指导）。

准备两套扫描结果显示不同的 URL 和（或）发现的安全问题。

安全报告

行业标准

调整服从

分析报告

模板报告

报告的一种形式，包括用户规定的数据和用户规定的文件格式， 用微软 Word .doc 格式。

8 其他任务

此公共部分的章节非 AppScan 标准的一部分。

8.1 手动检查

手动检查使用户了解手动应用，在链接上点击和输入数据。有三种情况使用户考虑 手动检查而不使用自动扫描：  反自动化的（比如需要填入一些由图片显示的随机词语）。  检查一个特殊的用户过程（用户使用脚本存取的 URL、文件和参数）  有些 URL 在扫描过程中可能同时起作用。创建一个手动检查使用户填入可用数  据。 录制一个手动检查：

1． 点

手动检查。

一个 Internet 浏览器打开。 2． 了解站点，点击链接填入需要的地址。 3． 结束时关闭浏览器。   一个检查 URL 对话框出现。 4． 如果列表符合要求，点击 OK。   AppScan 检查用户的输入是否适合从文件自动添加，如果可以，询问用户是否   想添加。 5． 执行下面某条：   如果用户不想把这次录制用于未来的扫描，点击 No。   如果想把部分或者全部输入从文件自动添加，点击 Yes 并从临时参数列表中选   择一项，点击 Move（把他们移到现有参数列表），然后点 OK。 6． 点击 OK。   AppScan 分析用户输入的 URL，然后根据这个分析创建测试。

7． 运行新的测试。点击

测试，然后选择继续测试。

8.2 计划

用户可以计划扫描自动或者在一个时间段内开始。  计划一个扫描： 1． 点工具，扫描计划，然后点击 New。 2． 为计划起一个名字并选择或者填入用户要求的选项：    选择马上扫描或者保存的扫描（如果保存，写入要求的*.scan 文 件 ）。    选择每天、每周、每月或者只有一次。    选择日期和时间开始第一次运行扫描。    名称和密码的种类。 3． 点击 OK。

8.3 输出扫描结果

用户可以以 XML 文件或者相关数据库的形式输出完成扫描的结果。（相关数据库检 查结果存为 Firebird 数据库结构。这是开源的，而且符合 ODBC 和 JDBC 标 准 。） 输出一个报告文档： 1． 点击 File/Export。 2． 输入文档名称。 3． 选择 XML 或者 Relational DB（相关数据库）格式。 4． 点击保存。

9 工具栏摘要

新建

打开

保存

打印

开始扫描

暂停扫描

手动检查

设置扫描

扫描检查

查找

扫描日志

创建报告

检查更新

选择模板创建扫描。（能够随时打开设置向导。）

读取一个保存的扫描或者扫描模板。

保存现在的扫描。

打印应用树和现在窗口的详细信息栏（安全问题、修改工作或 者应用资料）。节点在被显示的时候可以扩大或缩小。

（只有在扫描被读取或者设置的时候才能执行）

（只有扫描运行时才能执行）

打开浏览器到应用的 URL，手动浏览，像用户一样填入参数。 AppScan 在测试这个站点时会加入这个输入数据的测试。

打开扫描设置对话框来设置扫描。

运行扫描检查来评价用户现在的设置和修改建议。

打开 AppScan 搜索引擎。

在扫描时或扫描后显示扫描日志。 列出 AppScan 执行过程中所（ 发现和执行的所有事务。）

为现在的扫描建立一个基础报告。

为 AppScan 检查安全升级。

10 联系我们

IBM致力于顾客的满意。想得到有关AppScan的技术支持，特殊建议，销售或 者资料请登陆：www.watchfire.com/services/support.aspx