札记:在日常项目测试过程中,难免遇到需要对项目进行安全方面的测试,对大部分测试人来讲,安全测试起点高无从入手,而从效率的角度去考虑加上时间不充足(一般公司不会给太多时间你慢慢研究,就算研究也未必保证有成果),使用安全工具扫描不失为一个解决问题的方法之一,所以才写下这编文章作为分享,同时也为自己日后工作上方便查阅。
一.APPSCAN9.0安装,破解
1.1 安装
下载APPSCAN 9.0,双击安装,一直点击下一步完成安装。
1.2 破解
1.下载APPSCAN破解包;
2.把破解包中的patch.exe拷贝到APPSCAN安装目录的根地址(如C:\Program Files (x86)\IBM\AppScan Standard),然后双击运行给APPSCAN打补丁,如不需要可跳过;
3.运行破解包中的Keygen.exe,把生成的license.lic拷贝到安装路径下的License目录中(如C:\Program Files (x86)\IBM\AppScan Standard\License);
4.破解完成,双击运行AppScan应用即可使用。
二.扫描项目
2.1 新建扫描项目
双击运行APPSCAN应用程序,点击菜单栏“文件”-->“新建”-->“常规模板”-->“下一步”
2.2 输入被测系统地址
输入需要扫描的域名地址或IP地址--点击“下一步”
**如果用域名访问,在扫描过程有时出现很多访问失败的情况,建议使用IP地址扫描。因为有些项目需要通过堡垒机访问系统,然后域名解释时出现超时的情况**
2.3 录制扫描路径
点击“记录”下拉框-->选择“IE”或者其他浏览器-->在浏览器中登录系统,然后进入各个需要扫描的页面,APPSCAN会记录下所有的操作路径-->关闭浏览器会自动保存操作路径-->“下一步”
2.4 自定义安全扫描策略范围
在测试策略分页,可以使用默认的缺省值策略,也可以自定义安全扫描的策略,自定义策略步骤如下:
点击“完全扫描配置”-->“测试”-->“测试策略”-->勾选需要的测试范围-->“确定”
2.5 选择测试策略-->“下一步”-->“完成”
2.6 把所有操作保存为模板
上一步点击完成后,会弹窗提示是否把上述所有操作作为模板保存,保存为模板后下次直接双击运行模板即可
2.7 开始完全扫描
点击工具栏中的“扫描”-->“继续完全扫描”,APPSCAN就会爬到各个路径中使用设置的安全策略进行各类型测试
2.8 扫描过程中,查看扫描日志
三.导出安全扫描报告
扫描结束后,点击工具栏中的“报告”-->勾选报告内容-->保存报告(建议保存为HTML格式,兼容性比较好)
四.安全问题排查
APPSCAN扫描到的问题,有些可能存在误报的情况,需要逐个去校验是否真实存在,如果存在再写入到修改计划中
995
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
