安全测试应该是测试中很是重要的一部分,但他经常最容易被忽视掉。html
尽管国内常常出现各类安全事件,但没有真正的引发人们的注意。无论是开发仍是测试都不太关注产品的安全。固然,这也不能怪咱们苦B的“民工兄弟”。由于公司的所给咱们的时间与精力只要求咱们对产品的功能的实现以及保证功能的正常运行。一方面出于侥幸心理。谁没事会攻击我?web
关于安全测试方面的资料也不多,不少人所知道的就是一本书,一个工具。面试
一本书值《web安全测试》,这应该是安全测试领域维数很少又被你们熟知的安全测试书,我曾看过前面几个章节,唉,鄙视一下本身,作事总喜欢有始无终。写得很是好,介绍了许多安全方面的工具和知识。我以为就算你不去作专业的安全开发\测试人员。起码能够开阔你的视野,使你在作开发或测试时可以考虑到产品安全方面的设计。防患于未然老是好的,若是你想成为一个优秀的人。chrome
一个工具,其实本文也只是想介绍一下,这个工具----AappScan,IBM的这个web安全扫描工具被许多人熟知,相关资料也不少,由于我也摸了摸它的皮毛,因此也来人说两句,呵呵!提及sappScan,对它也很有些感情,由于,上一份工做的时候,我摸过于测试相关的许多工具,AappScan是其它一个,当时就以为这工具这么强大,并且还这么傻瓜!!^_^! 因而,后面在面试的简历上写了这个工具,应聘如今的这家公司,几轮面试下来都问到过这个工具,由于如今这家公司一直在使用这个工具作安全方面的扫描。我想能来这家公司和我熟悉AappScan应该有一点点的关系吧!呵呵api
AappScan下载与安装
IBM官方下载;http://download2.boulder.ibm.com ... 2-AppScan_Setup.exe浏览器
本链接为7.8 简体中文版本的安全
破解补丁;http://www.vdisk.cn/down/index/4760606A4753服务器
破解补丁中有相应的注册机与破解步骤,生成注册码作一下替换就OK了,这里不细说。app
AppScan实际上是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的AppScan source edition,到针对WEB应用进行快速扫描的AppScan standard edition.以及进行安全管理和汇总整合的AppScan enterprise Edition等,咱们常常说的AppScan就是指的桌面版本的AppScan,即AppScan standard edition.其安装在Windows操做系统上,能够对网站等WEB应用进行自动化的应用安全扫描和测试。webapp
使用AppScan来进行扫描
咱们按照PDCA的方法论来进行规划和讨论; 建议的AppScan使用步骤:PDCA: Plan,Do,check, Action and Analysis.
计划阶段:明确目的,进行策略性的选择和任务分解。
1) 明确目的:选择合适的扫描策略
2) 了解对象:首先进行探索,了解网站结构和规模
3) 肯定策略:进行对应的配置
a) 按照目录进行扫描任务的分解
b) 按照扫描策略进行扫描任务的分解
执行阶段:一边扫描一遍观察
4) 进行扫描
5) 先爬后扫(继续仅测试)
检查阶段(Check)
6) 检查和调整配置
结果分析(Analysis)
7) 对比结果
8) 汇总结果(整合和过滤)
AppScan的工做原理
当咱们单击“扫描”下面的小三角,能够出现以下的三个选型“继续彻底扫描”,“继续仅探索”,“继续仅测试“,有木有?什么意思? 理解了这个地方,就理解了AppScan的工做原理,咱们慢慢展开:
尚未正式开始,因此先无论“继续“,直接来讨论’彻底扫描”,“仅探索”,“仅测试”三个名词:
AppScan是对网站等WEB应用进行安全攻击,经过真刀真枪的攻击,来检查网站是否存在安全漏洞;既然是攻击,确定要有明确的攻击对象吧,好比北约如今的对象就是卡扎菲上校还有他的军队。对网站来讲,一个网站存在的页面,可能成千上万。每一个页面也均可能存在多个字段(参数),好比一个登录界面,至少要输入用户名和密码吧,这就是一个页面存在两个字段,你提交了用户名密码等登录信息,网站总要有地方接受而且检查是否正确吧,这就可能存在一个新的检查页面。这里的每一个页面的每一个参数均可能存在安全漏洞,全部都是被攻击对象,都须要来检查。
这就存在一个问题,你领命来检查一个网站的安全性,这个网站有多少个页面,有多少个参数,页面之间如何跳转,你可能很不明确,如何知道这些信息? 看起来很复杂,盘根错节;那就更须要找到那个线索,提纲挈领; 那就想想,访问一个网站的时候,咱们须要知道的最重要的信息是哪一个?网站主页地址吧? 从网站地址开始,不少其余频道,其余页面均可以连接过去,对不对,那么可不能够有种技术,告诉了它网站的入口地址,而后它“顺藤摸瓜”,找出其余的网页和页面参数? OK,这就是”爬虫” 技术,具体说,是”网站爬虫“,其利用了网页的请求都是用http协议发送的,发送和返回的内容都是统一的语言HTML,那么对HTML语言进行分析,找到里面的参数和连接,纪录并继续发送之,最终,找到了这个网站的众多的页面和目录。这个能力AppScan就提供了,这里的术语叫“探索”,explorer,就是去发现,去分析,了解未知的,记录。
在使用AppScan的时候,要配置的第一个就是要检查的网站的地址,配置了之后,AppScan就会利用“探索”技术去发现这个网站存在多少个目录,多少个页面,页面中有哪些参数等,简单说,了解了你的网站的结构。
“探索”了解了,测试的目标和范围就大体肯定了,而后呢,利用“军火库”,发送导弹,进行安全攻击,这个过程就是“测试”;针对发现的每一个页面的每一个参数,进行安全检查,检查的弹药就来自AppScan的扫描规则库,其相似杀毒软件的病毒库,具体能够检查的安全攻击类型都在里面作好了,咱们去使用便可。
那么什么是“彻底测试呢”,彻底测试就是把上面的两个步骤整合起来,“探索”+ “测试”;在安全测试过程当中,能够先只进行探索,不进行测试,目的是了解被测的网站结构,评估范围; 而后选择“继续仅测试”,只对前面探索过的页面进行测试,不对新发现的页面进行测试。“彻底测试”就是把两个步骤结合在一块儿,一边探索,一边测试。
上图更容易理解:
步骤1:探索(爬行,爬网)
步骤2:真对找到的页面进行测试,生成安全攻击
AppScan扫描大型网站
常常有客户抱怨,说AppScan没法扫描大型的网站,或者是扫描接近完成时候没法保存,甚至保存后的结果文件下次没法打开?;同时你们又都很奇怪,做为一款业界出名的工具,如此的脆弱?是配置使用不当仍是本身不太了解呢?咱们今天就一块儿来讨论下AppScan扫描大型网站会遇到的问题以及应对。
什么叫大型网站,顾名思义,网站规模大,具体说是页面不少,内容很全。好比www.sina.com.cn,好比http://music.10086.cn/,都包括上万个页面。并且除了这个,可能还有一个特色---页面参数多,即要填写的地方多,和用户的交互多;好比一个网站若是都是静态页面(.html,.jpg等),没有让用户输入的地方,那么能够利用,能够做为攻击点的地方也就很少。若是页面处处都是有输入,有查询,要求用户来参与的,你输入的越多,可能泄露的信息也越多,可能被别人利用的攻击点也就越多,因此和页面参数也是有关系的。AppScan声称测试用例的时候,也是根据每一个参数来产生的,简单说,若是一个参数,对应了200个安全攻击测试用例,那么一个登录界面至少就对应400个了,为何?登录界面至少有用户名和密码两个字段吧? 每一个字段200个攻击用例。
这个简单吧,还能够更复杂:若是遇到下面的两个地址,那要扫描多少次呢?
http://www.cnblogs.com/fnng/focus/satisfy/file.jsp?id=1
http://www.cnblogs.com/fnng/focus/satisfy/file.jsp?id=2
上面的两个地址有相似的,“?”号之前的URL地址彻底同样,”?”号后面带的参数不一样,这种能够认为是重复页面,那么对于重复页面,是否要重复测试呢?
这取决于“冗余路径设置”,默认的是最多测试5次;即,这种类型URL出现的前5次,那么就是要测试1000个攻击用例了。
若是再继续修改下:遇到下面的URL呢
http://www.cnblogs.com/fnng/focus/satisfy/file.jsp?id=1&Item=open
http://www.cnblogs.com/fnng/focus/satisfy/file.jsp?id=2&Item=close
每一个URL里面都有2个参数,测试的次数就更多了。想象下,若是这个网页里面的参数若是是10个,或者更多的呢?好比不少网站提交注册信息的时候,要填写的内容足够多吧?
要进行的安全测试用例也就随之不断增长…
这是网站规模的影响,还有一个问题,就出在“每一个参数,发送200个安全测试用例”这个假设上。这个假设的前提来源于哪里? 来源于咱们选择的扫描规则库。即你关心那些安全威胁,这个须要在测试策略里面选择。一样来参照杀毒软件,你会用杀毒软件来查找一些专用的病毒吗,好比CIH,好比木马;应用安全扫描也是同样的道理,若是有明确的安全指标或者安全规则范围,那么就选择之。这些可能来源于企业的规范,来源于政府的法律法规。就要根据你的理解,在这里选择。
不少时候,咱们也很难在最开始的阶段,就把扫描规范制定下来,按照项目经理们的口头禅“渐进明细”,“滚动式规划”,在实践中,更多时候也是摸着石头过河,选择了一个扫描策略,而后根据结果分析,看是否须要调整,不断优化。好比选择默认的“缺省值’扫描策略,对网站进行扫描,发现其”敏感信息“里面会去检查页面上是否含有Email地址,是否含有信用卡号码等,若是咱们以为这些信息,显示在页面上是正常的业务须要, 咱们就能够取消掉这些规则,因此扫描规则也很大程度上影响着咱们的扫描效率。
这里主要分享如何使用AppScan对一大项目的部分功能进行安全扫描。
------------------------------------------------------------------------
其实,对于安全方面的测试知道的甚少。由于那公司每月要求对产品进行安全扫描。掌握了一人点使用技巧,因此拿来与你们分享。
由于产品比较大,功能模块也很是之多,咱们不可能对整个产品进行扫描。再一个每一个测试员负责测试的模块不一样。咱们只须要对本身负责测试的模块扫描便可。
扫描工具天然是IBM AppScan ,功能强大,使用简单。略懂安全测试的都使用或据说过这个工具。这里就不过多介绍了。
抽取被扫描功能的连接
首先要抽取扫描的连接。fiddler工具来抽取。打开系统,找到你须要作扫描的功能模块,开启fiddler拦截功能,而后对你所要测试的功能作各类操做,fiddler就会记录的全部访问的连接,由于涉及到隐私,因此下图会比较模糊。
其实,请求中有很是多的连接,但许可能是同样,咱们只要把不同的全找出来就能够了。这里你须要知道每一个链接的状况。也有一些外部连接是不须要抽取的。
aaa.bbb.cn g2.aaa.bbb.cn g1.aaa.bbb.cn webapp.aaa.bbb.cn uec.aaa.bbb.cn addrapi.aaa.bbb.cn smsrebuild1.aaa.bbb.cn disk2.aaa.bbb.cn mw.aaa.bbb.cn scriptlog.aaa.bbb.cn images.139cm.com appmail.aaa.bbb.cn gfile5-disk.aaa.bbb.cn gfile8-disk.aaa.bbb.cn gfile7-disk.aaa.bbb.cn
把全部连接抽取出来以后就没几个了。去掉重复的就没多少了。
完成配置向导
下面打开appscan建立扫描。(关于appascan的下载安装与破解、介绍,我在另外一篇博文已讲)
选择常规扫描,进入配置向导。点击下一步,进入配置
上面这一步是重点,起始URL填写你要扫描的网址。其它服务器和域:这里把抽取的全部连接都添加进去。包括后网站的首页连接。点击下一步。
这里提供三种方式来记录账号,很少介绍。第一种和第三种最经常使用。
而后点击几个下一步后出现后面的选项,选择第三个或第四项完成扫描的配置。
录制扫描脚本
完成配置后,下面就要开始录制脚本了呢。
点击工具栏上的探索按钮,appscan会打开自带浏览器,输入系统用户名密码登陆系统,对你要扫描的模块功能进行操做。
上图为我打开的appscan自带浏览器(由于我输入的网址有误,因此没法访问)。操做完成以后,点击暂停按钮,关闭浏览器窗口便可。
关闭浏览器后,上面的窗口中会记录全部你访问的链接,点击肯定。全部的信息就会记录下来了,下面要作的点击点击工具栏上的扫描按钮开始扫描。咱们通常晚上下班进行,次日早上来看扫描结果就能够了。
------------------------------------
原本到这里就能够结束了,我再多说个设置。呵呵!在手动探索的时候,由于打开的浏览器是appscan自带的,可能会存在兼容性问题,有些页面没法正常打开。那么是否能够用咱们电脑上的浏览器(IE 、火狐、谷歌)来进行录制呢了。固然是能够的。
菜单栏--工具---选项----高级
这个必定要大图,咱们只须要修改openExternalBrowser 选项“值”的参数就能够了(1=IE、2=firefox、3=chrome)。
-----------------
安全测试挺有前途的,国内起步很晚,这两年才逐渐受到重视。公司也愈来愈重视安全。
使用分享参照虫师:
http://www.cnblogs.com/fnng/archive/2012/10/09/2717568.html
工具简单讲解参照虫师:
http://www.cnblogs.com/fnng/archive/2012/05/27/2520594.html
|
安装的时候要把杀毒软件关掉,否则安装不成功
若是出现没法写入键的问题,在虚拟机里面安装 就能够用了