1、常規配置Appscan (安全自動化測試工具)web
- Appscan是web應用程序滲透測試舞臺上使用最普遍的工具之一.它是一個桌面應用程序,它有助於專業安全人員進行Web應用程序自動化脆弱性評估。本文側重於配置和使用Appcan。
- 可定製的掃描策略:Appscan配備一套自定義的掃描策略,你能夠定製適合你須要的掃描策略。
- 報告:根據你的要求,能夠生成所需格式的報告。
- Appscan分爲三部分:探索、鏈接和測試。
探索和測試階段:正則表達式
在咱們開始掃描以前,讓咱們對Appscan的工做作一個瞭解.任何自動化掃描器都有兩個目標:找出全部可用的連接和攻擊尋找應用程序漏洞。數據庫
探索(Explore):瀏覽器
在探索階段,Appscan試圖遍歷網站中全部可用的連接,並創建一個層次結構。它發出請求,並根據響應來判斷哪裏是一個漏洞的影響範圍。例如,看到一個登錄頁面,它會肯定經過繞過注入來經過驗證.在探索階段不執行任何的攻擊,只是肯定測試方向.這個階段經過發送的多個請求肯定網站的結構和即將測試的漏洞範圍。安全
測試(Test):服務器
在測試階段,Appscan經過攻擊來測試應用中的漏洞.經過釋放出的實際攻擊的有效載荷,來肯定在探索階段創建的安全漏洞的狀況.並根據風險的嚴重程度排名。工具
在測試階段可能回發現網站的新連接,所以Appscan在探索和測試階段完成以後會開始另外一輪的掃描,並繼續重複以上的過程,直到沒有新的連接能夠測試。掃描的次數也能夠在用戶的設置中配置.性能
========================================================================================================================================================測試
開始掃描,啓動Appscan,你會看到圖一中所示的歡迎屏幕.網站
圖一
點擊"Create New Scan" 開始掃描一個新的Web應用程序
圖二
選擇一個適合你要求的掃描模板。模板包括已經定義好的掃描配置.選擇一個模板後會出現配置嚮導。點擊「常規掃描」。
圖三
它會問你選擇的掃描類型,選擇"Web Application Scan"-web應用程序掃描,而後點擊Next
掃描配置嚮導是該工具的核心部分,使用設置嚮導,會讓Appscan知道你的需求;其中有不少可供的需求選擇.
URL and Servers(URL和服務器-下圖)
*Starting URL(起始網址):*此功能指定要掃描的起始網址.在大多數狀況下,這將是該網站的登錄頁面.選擇http://demo.testfire.net這個演示站來測試Web應用程序漏洞.若是你想限制只掃描到這個目錄下的連接,選中該複選框.
Case Sensitive Path(大小寫的選擇):若是你的服務器URL有大小寫的區別,選擇此項。對大小寫的區別取決於服務器的操做系統-看你用的服務器系統來決定選擇,Linux/Unix中對大小寫是敏感的因此選擇,而Windows是沒有的.
圖四:
(另外的服務器和域):在掃描過程當中Appscan嘗試抓取本網站上的全部連接。當它發現了一個連接指向不一樣的域,它是不會進行掃描攻擊的,除非在"另外的服務器和域"中指定.經過指定該標籤下的連接,來告訴Appscan繼續掃描,即便它和URL是不一樣的域下.
點擊下一步繼續。
Login Management(登錄管理方法)
在掃描的過程當中,可能會不當心碰到退出按鈕致使Appscan註銷.所以,要登錄到應用程序中,咱們須要根據本條中的設置。
①在測試的web沒有驗證碼狀況下,可使用(1和3種登錄方法)
②在web有驗證碼狀況下,可使用第二種登錄方法。
*Recorded(記錄):*選擇此項後,會出現一個新的瀏覽器,並嘗試連接到指定的網站做爲本掃描的起始URL.你須要輸入帳號和密碼登錄到應用程序.這樣設置以後你能夠關閉瀏覽器,可是不要點擊註銷按鈕。有時候你會發現打開的瀏覽器不是IE或者Mozilla,而是Appscan瀏覽器.你能夠改變經過設置來改變這個.Tools-->Options -->Advanced,設置OpenIEBrower的值0--Appscan瀏覽器,1--IE,2--Firefox,3--Chrome.若是該網站的行爲在不一樣的瀏覽器下有所不一樣,這個設置將是很是有用的.
*Prompt(提示):*每次註銷以後,Appscan會提示你登錄到應用程序中.若是你打算整個掃描你的系統,你能夠選擇這個選項.
Automatic(自動):在這裏你能夠直接指定用戶名和密碼,當你須要登錄到應用程序的時候.
圖五
和圖六(是以記錄的登錄方式,請求成功登錄提示)
點擊下一步繼續.
Test celie-測試策略
根據你的測試策略,你須要選擇最適合你需求的策略,現有的策略都是默認的,該策略包含全部測試,但侵入式和端口偵聽器測試除外。.若是你不但願在登錄時發送測試和註銷頁面,你能夠選擇該選項。
- 將測試發送到登陸和註銷頁面:缺省(默認)狀況下,AppScan 將測試登陸和註銷頁面以及應用程序的其他部分。您應該保持該默認配置;若是不肯定您的應用程序會如何響應這些測試,那麼請保持選定該選項。
建議將此複選框保留爲選中狀態,由於測試登陸頁面時會話標識可能會致使測試不成功。僅當您肯定須要有效會話令牌來測試登陸頁面時,才應清除該複選框。
圖七
點擊下一步繼續.
Complete
這是開始掃描的最後一步.IBM Rational Appscan容許你選擇你想要的掃描方式,即完成掃描設置,探索掃描等.
*Start a full automatic sacn(開始一個完整的自動掃描):*隨着前面建立的配置,Appscan將開始探索和測試階段.
- 動應用程序的全面掃描(「探索」後將當即進行「測試」)。
*Start with automatic explore only(開始探索掃描):*Appscan只會探索應用程序,但不發送攻擊.
- 探索應用程序,但不繼續「測試」階段。(能夠稍後運行「測試」階段)。
*Start with manual explore(開始手動探索):*瀏覽器將被打開,你能夠手動瀏覽器應用程序.
- 瀏覽器將打開,而且您能夠經過單擊連接並填寫字段來手動探索站點。AppScan® 將記錄結果,以便在「測試」階段使用。
當你想作出更多的更改掃描配置,你能夠選擇最後一個選項"i will start scan later".我將稍後啓動掃描
- 關閉嚮導,不啓動掃描。下次啓動掃描時,會使用該模板。
在咱們開始以前,咱們有很重要的事情要作,它是Appscan的心臟和靈魂-"Full scan Configuration(全局掃描配置)"窗口.讓咱們明白爲何它在掃描任意應用程序的時候那麼重要.
AppScan滲透測試工具
圖八:
點擊OK,將回到最初的掃描嚮導窗口.選擇"start a full automatic sacn",單擊"finish"。完成配置過程。
=======================================================================================》
2、就是能夠手動配置全局
Full Scan Configuration
在下圖中,有四個主要的部分--探索,連接,測試和通常,讓咱們看看具體的細節:
Explore
URL and Servers(URL和服務器): 掃描的URL和額外的服務器連接的處理.
**Login Management(登錄管理):**除了登錄方法,若是你想在Appscan同時登錄,經過這個能夠指定.這將減小總的掃描時間.你還能夠指定正則表達式檢測註銷頁.
圖八:
**Environment Definition(環境的定義):**在此設置下,你能夠指定操做系統,Web服務器,數據庫服務器,以及其它第三方組件,它能夠幫助你提升掃描的精度和性能。
圖九:
**Exclude Paths and Files(排除路徑和文件):**設置掃描過程當中排除的特定路徑,甚至是特定的文件,好比.mps或.7z等.你能夠在此選項下經過正則表達式來設置.
**Explore Options(瀏覽選項):**冗餘路徑選項有助於設置Appscan針對相同路徑的掃描次數限制。由於有時Appscan可能會進入一個無限循環一次又一次掃描相同的URL.
**Parameters and Cookies(參數和Cookies):**包括有關參數的詳細信息和應用程序中存在的COOKIES.
**Automatic Form Fill(自動錶格填寫):**在掃描過程當中,Appscan遇到須要輸入的形式.例如,一個註冊頁面,可能須要輸入值,好比用戶名和地址等。經過選擇此項,可讓Appscan自動填寫這些信息.
**Error pages(錯誤頁面):**你在此配置下輸入的錯誤頁面將幫助Appscan判斷錯誤頁面.
**Multi-Step Operations(多步驟操做):**有部分應用程序,只有當你請求的數據按必定的順序才能夠達成(好比電子商務網站).經過這個設置你能夠點擊"start recording"來記錄其序列.
**Glass box Scanning:**Glass box Scanning是Appscan引入的一個新的功能,代理將被安裝在服務器上,這有助於掃描找到隱藏的URl和其它的問題.
**Communication and Proxy(通信及代理):**你能夠指定掃描器是否可使用IE瀏覽器的代理設置(或不能使用任何代理)。
**HTTP Authentication(HTTP身份驗證):**使用客戶端證書,上傳證書文件和密鑰文件.
**Test Policy(測試策略):**全部的測試名稱都列在這個部分,若是你不想Appscan掃描特定的漏洞,你能夠取消其中的任何一個.
圖十:
**Test Options(測試選項):**這個部分你能夠選擇適合的測試選項.Appscan發送大量的測試,須要花費大量的時間.可是選擇適性測驗,Appscan會嘗試發送,以肯定是適當的測試.它能夠檢測到服務器是IIS,而後只發送其中針對IIS的脆弱性檢測測試,而不會檢查其它服務器有關的問題.
**Privilege Escalation(特權升級):**你能夠上傳不一樣權限的用戶或未經受權的用戶掃描的掃描文件。
**Scan Expert(掃描專家):**掃描專家提出了建議,以更好的掃描應用程序。
======================================================================》
導出報告