1、常规配置Appscan (安全自动化测试工具)web
- Appscan是web应用程序渗透测试舞台上使用最普遍的工具之一.它是一个桌面应用程序,它有助于专业安全人员进行Web应用程序自动化脆弱性评估。本文侧重于配置和使用Appcan。
- 可定制的扫描策略:Appscan配备一套自定义的扫描策略,你能够定制适合你须要的扫描策略。
- 报告:根据你的要求,能够生成所需格式的报告。
- Appscan分为三部分:探索、链接和测试。
探索和测试阶段:正则表达式
在咱们开始扫描以前,让咱们对Appscan的工做作一个了解.任何自动化扫描器都有两个目标:找出全部可用的连接和攻击寻找应用程序漏洞。数据库
探索(Explore):浏览器
在探索阶段,Appscan试图遍历网站中全部可用的连接,并创建一个层次结构。它发出请求,并根据响应来判断哪里是一个漏洞的影响范围。例如,看到一个登录页面,它会肯定经过绕过注入来经过验证.在探索阶段不执行任何的攻击,只是肯定测试方向.这个阶段经过发送的多个请求肯定网站的结构和即将测试的漏洞范围。安全
测试(Test):服务器
在测试阶段,Appscan经过攻击来测试应用中的漏洞.经过释放出的实际攻击的有效载荷,来肯定在探索阶段创建的安全漏洞的状况.并根据风险的严重程度排名。工具
在测试阶段可能回发现网站的新连接,所以Appscan在探索和测试阶段完成以后会开始另外一轮的扫描,并继续重复以上的过程,直到没有新的连接能够测试。扫描的次数也能够在用户的设置中配置.性能
========================================================================================================================================================测试
开始扫描,启动Appscan,你会看到图一中所示的欢迎屏幕.网站
图一
点击"Create New Scan" 开始扫描一个新的Web应用程序
图二
选择一个适合你要求的扫描模板。模板包括已经定义好的扫描配置.选择一个模板后会出现配置向导。点击“常规扫描”。
图三
它会问你选择的扫描类型,选择"Web Application Scan"-web应用程序扫描,而后点击Next
扫描配置向导是该工具的核心部分,使用设置向导,会让Appscan知道你的需求;其中有不少可供的需求选择.
URL and Servers(URL和服务器-下图)
*Starting URL(起始网址):*此功能指定要扫描的起始网址.在大多数状况下,这将是该网站的登录页面.选择http://demo.testfire.net这个演示站来测试Web应用程序漏洞.若是你想限制只扫描到这个目录下的连接,选中该复选框.
Case Sensitive Path(大小写的选择):若是你的服务器URL有大小写的区别,选择此项。对大小写的区别取决于服务器的操做系统-看你用的服务器系统来决定选择,Linux/Unix中对大小写是敏感的因此选择,而Windows是没有的.
图四:
(另外的服务器和域):在扫描过程当中Appscan尝试抓取本网站上的全部连接。当它发现了一个连接指向不一样的域,它是不会进行扫描攻击的,除非在"另外的服务器和域"中指定.经过指定该标签下的连接,来告诉Appscan继续扫描,即便它和URL是不一样的域下.
点击下一步继续。
Login Management(登录管理方法)
在扫描的过程当中,可能会不当心碰到退出按钮致使Appscan注销.所以,要登录到应用程序中,咱们须要根据本条中的设置。
①在测试的web没有验证码状况下,可使用(1和3种登录方法)
②在web有验证码状况下,可使用第二种登录方法。
*Recorded(记录):*选择此项后,会出现一个新的浏览器,并尝试连接到指定的网站做为本扫描的起始URL.你须要输入帐号和密码登录到应用程序.这样设置以后你能够关闭浏览器,可是不要点击注销按钮。有时候你会发现打开的浏览器不是IE或者Mozilla,而是Appscan浏览器.你能够改变经过设置来改变这个.Tools-->Options -->Advanced,设置OpenIEBrower的值0--Appscan浏览器,1--IE,2--Firefox,3--Chrome.若是该网站的行为在不一样的浏览器下有所不一样,这个设置将是很是有用的.
*Prompt(提示):*每次注销以后,Appscan会提示你登录到应用程序中.若是你打算整个扫描你的系统,你能够选择这个选项.
Automatic(自动):在这里你能够直接指定用户名和密码,当你须要登录到应用程序的时候.
图五
和图六(是以记录的登录方式,请求成功登录提示)
点击下一步继续.
Test celie-测试策略
根据你的测试策略,你须要选择最适合你需求的策略,现有的策略都是默认的,该策略包含全部测试,但侵入式和端口侦听器测试除外。.若是你不但愿在登录时发送测试和注销页面,你能够选择该选项。
- 将测试发送到登陆和注销页面:缺省(默认)状况下,AppScan 将测试登陆和注销页面以及应用程序的其他部分。您应该保持该默认配置;若是不肯定您的应用程序会如何响应这些测试,那么请保持选定该选项。
建议将此复选框保留为选中状态,由于测试登陆页面时会话标识可能会致使测试不成功。仅当您肯定须要有效会话令牌来测试登陆页面时,才应清除该复选框。
图七
点击下一步继续.
Complete
这是开始扫描的最后一步.IBM Rational Appscan容许你选择你想要的扫描方式,即完成扫描设置,探索扫描等.
*Start a full automatic sacn(开始一个完整的自动扫描):*随着前面建立的配置,Appscan将开始探索和测试阶段.
- 动应用程序的全面扫描(“探索”后将当即进行“测试”)。
*Start with automatic explore only(开始探索扫描):*Appscan只会探索应用程序,但不发送攻击.
- 探索应用程序,但不继续“测试”阶段。(能够稍后运行“测试”阶段)。
*Start with manual explore(开始手动探索):*浏览器将被打开,你能够手动浏览器应用程序.
- 浏览器将打开,而且您能够经过单击连接并填写字段来手动探索站点。AppScan® 将记录结果,以便在“测试”阶段使用。
当你想作出更多的更改扫描配置,你能够选择最后一个选项"i will start scan later".我将稍后启动扫描
- 关闭向导,不启动扫描。下次启动扫描时,会使用该模板。
在咱们开始以前,咱们有很重要的事情要作,它是Appscan的心脏和灵魂-"Full scan Configuration(全局扫描配置)"窗口.让咱们明白为何它在扫描任意应用程序的时候那么重要.
AppScan渗透测试工具
图八:
点击OK,将回到最初的扫描向导窗口.选择"start a full automatic sacn",单击"finish"。完成配置过程。
=======================================================================================》
2、就是能够手动配置全局
Full Scan Configuration
在下图中,有四个主要的部分--探索,连接,测试和通常,让咱们看看具体的细节:
Explore
URL and Servers(URL和服务器): 扫描的URL和额外的服务器连接的处理.
**Login Management(登录管理):**除了登录方法,若是你想在Appscan同时登录,经过这个能够指定.这将减小总的扫描时间.你还能够指定正则表达式检测注销页.
图八:
**Environment Definition(环境的定义):**在此设置下,你能够指定操做系统,Web服务器,数据库服务器,以及其它第三方组件,它能够帮助你提升扫描的精度和性能。
图九:
**Exclude Paths and Files(排除路径和文件):**设置扫描过程当中排除的特定路径,甚至是特定的文件,好比.mps或.7z等.你能够在此选项下经过正则表达式来设置.
**Explore Options(浏览选项):**冗余路径选项有助于设置Appscan针对相同路径的扫描次数限制。由于有时Appscan可能会进入一个无限循环一次又一次扫描相同的URL.
**Parameters and Cookies(参数和Cookies):**包括有关参数的详细信息和应用程序中存在的COOKIES.
**Automatic Form Fill(自动表格填写):**在扫描过程当中,Appscan遇到须要输入的形式.例如,一个注册页面,可能须要输入值,好比用户名和地址等。经过选择此项,可让Appscan自动填写这些信息.
**Error pages(错误页面):**你在此配置下输入的错误页面将帮助Appscan判断错误页面.
**Multi-Step Operations(多步骤操做):**有部分应用程序,只有当你请求的数据按必定的顺序才能够达成(好比电子商务网站).经过这个设置你能够点击"start recording"来记录其序列.
**Glass box Scanning:**Glass box Scanning是Appscan引入的一个新的功能,代理将被安装在服务器上,这有助于扫描找到隐藏的URl和其它的问题.
**Communication and Proxy(通信及代理):**你能够指定扫描器是否可使用IE浏览器的代理设置(或不能使用任何代理)。
**HTTP Authentication(HTTP身份验证):**使用客户端证书,上传证书文件和密钥文件.
**Test Policy(测试策略):**全部的测试名称都列在这个部分,若是你不想Appscan扫描特定的漏洞,你能够取消其中的任何一个.
图十:
**Test Options(测试选项):**这个部分你能够选择适合的测试选项.Appscan发送大量的测试,须要花费大量的时间.可是选择适性测验,Appscan会尝试发送,以肯定是适当的测试.它能够检测到服务器是IIS,而后只发送其中针对IIS的脆弱性检测测试,而不会检查其它服务器有关的问题.
**Privilege Escalation(特权升级):**你能够上传不一样权限的用户或未经受权的用户扫描的扫描文件。
**Scan Expert(扫描专家):**扫描专家提出了建议,以更好的扫描应用程序。
======================================================================》
导出报告