AppScan工做原理&操做教程

1、AppScan的工做原理

對一個綜合性的大型網站來講，可能存在成千上萬的頁面。以登陸界面爲例，至少要輸入用戶名和密碼，即該頁面存在兩個字段，當提交了用戶名和密碼等登陸信息，網站須要檢查是否正確，這就可能存在一個新的檢查頁面。這裏的每一個頁面的每一個參數均可能存在安全漏洞，可能成爲被攻擊對象。AppScan正是經過按照設定策略和規則，對Web應用進行安全攻擊，以此來檢查網站是否存在安全漏洞。

在使用AppScan的時候，經過配置網站的URL網址，AppScan會利用「探索」技術去發現這個網站存在多少個目錄，多少個頁面，頁面中有哪些參數等，即探索出網站的總體結構。經過「探索」可肯定測試的目標和範圍，而後利用AppScan的掃描規則庫，針對發現的每一個頁面的每一個參數，進行安全檢查。

簡言之，APPScan的工做原理以下：

1）經過「探索」功能，利用HTTP Request和Response的內容，爬行出指定網站的整個Web應用結構

2）AppScan自己有一個內置的漏洞掃描的規則庫，可隨版本進行更新。從探索出的url中，修改參數or目錄名等方式，構造不一樣的url對照組向服務器發送請求or攻擊

3）根據HTTP Response返回的內容，和正常請求所返回的響應做對比，是否產生差別性，而這種差別性又是否符合掃描規則庫的設定規則，以此來判斷是否存在不一樣類型的安全漏洞

4）若APPScan可判斷存在安全漏洞，則對這些漏洞的威脅風險給出說明，進行嚴重程度提示，並給出修復的建議和方法，以及漏洞發現的位置提示

2、APPScan掃描操做教程

1.打開AppScan

2.文件-->新建-->建立新的掃描，如：常規掃描

3.進入配置嚮導頁面，選擇Web應用程序掃描，點擊「下一步」

PS：若須要使用Web Service掃描功能，須要提早下載安裝好GSC Web Services記錄器

4.進入掃描配置嚮導頁面，URL輸入框的地址即爲被測網址or其IP地址，如輸入如下被測url，點擊「下一步」

PS：1）能夠打開AppScan內置瀏覽器查看被測連接是否能正常訪問；2）如下被測網址爲某個專門測試用的漏洞網站，很是規使用的網站

5.登陸方法：根據實際須要選擇（如：自動），用戶名和密碼即爲被測網站的登陸帳戶，點擊「下一步」

PS：1）若登陸方法選擇「記錄」，則可經過界面右側的「記錄（R）」按鈕打開APPScan內置瀏覽器並輸入登陸信息，關閉內置瀏覽器後，AppScan便可記錄該用戶名和密碼，掃描的時候至關因而已登陸此帳戶的狀態進行掃描；2）若選擇「提示」，則根據網站掃描探索過程當中須要登陸會提示輸入登陸信息，人工輸入正確的帳號信息以後繼續掃描；3）若選擇「無」，則不需輸入登陸帳戶

6.選擇適當的操做策略（通常保持默認選擇，即「缺省值」），點擊「下一步」

7.設置啓動模式，根據實際須要選擇（如：僅使用自動「探索」啓動），點擊「完成」，便可開始啓動掃描or測試

PS：1）全面自動掃描：探索的同時，也進行攻擊測試；2）僅自動「探索」：自動探索網站的目錄結構，可被測的連接範圍及數目，不做實際攻擊測試；3）手動探索：先經過AppScan內置瀏覽器打開被測網站，手動點擊不一樣的目錄頁面，而後AppScan記錄之；4）稍後啓動掃描：先把這次網站的掃描配置進行保存，後續若想掃描的時候再繼續操做。

8.保存配置：好比點擊「是」，將這次配置命名保存到指定文件夾下

 

9.待步驟8保存配置以後，即會自動跳轉到掃描網站的界面開始掃描，通常掃描時間根據測試範圍和策略有關，這裏能夠看到掃描進度

PS：掃描過程當中，若掃描時間較長，可自動讓其掃描，或者點擊「暫停」-保存本次掃描，而後下次繼續未掃描的過程；若直接點擊右上角「×」關閉AppScan，則不會保存本次掃描的過程

10.掃描完成以後，可查看掃描的結果以下所示

11.點擊「掃描」-「僅測試」，開始啓動對這次探索結果的攻擊測試

根據掃描測試過程當中的APPScan工做狀況，是否有掃描出安全漏洞，是否在掃描過程當中進度受阻而不能繼續掃描，是否覆蓋到設定的url範圍，對同一模塊可重複掃描作對比，調整得到適合本身環境的配置

 

12.測試完成以後，保存本次AppScan掃描測試的結果；從統計出的安全性問題，能夠查看對應的漏洞連接、請求和響應、修復建議

 

13.點擊「報告」，建立不一樣要求的安全報告

 

3、AppScan使用特別注意事項【Important !】

【1】AppScan掃描過程當中，會向服務器發送較多請求，會佔用必定的正常請求訪問的資源，可能致使一些垃圾數據，建議只在本地測試環境執行

【2】使用AppScan以前，請提早備份好數據庫的數據，倘若掃描導致服務器異常關閉，則需重啓服務；若掃描產生的請求數據過多，或Web程序出現異常，可能須要從備份數據恢復還原。通常狀況下，正常掃描Web程序不多可能出現Web服務異常的情形

【3】AppScan掃描配置時，有區分爲Web Application（Web應用程序）和Web Service（Web服務）的掃描方向。若只對Web程序自己的漏洞檢測，就選Web Application掃描便可；若選擇Web Service掃描，則需提早告知服務器維護的負責人，創建異常狀況發生的處理機制，最好避開訪問請求的高峯or辦公人員集中使用的時間，好比下班後自動掃描

 

【4】AppScan掃描的結果並不表明徹底真實的狀況，受限於所用掃描器版本的漏洞規則庫的規則，以及操做者的配置策略，掃描過程當中有可能會使得掃描器出現誤判or漏測。若有必要，還需對掃描的結果進行人工校驗，可對同一Web應用分次進行掃描對比差別性

【5】掃描配置時，通常按照默認的測試策略-WASC威脅分類便可；若服務器自己所能承受的性能壓力不強，or存在較多漏洞的時候，不宜選擇「侵入式」策略，該策略存在着可能會入侵服務器、關閉服務、破壞數據庫等風險

 

【6】使用破解版的AppScan掃描Web應用時，若Web網站自己結構比較複雜、模塊衆多、涉及的url數目巨大（幾萬-十多萬），則不宜一次性全站掃描，有可能連續掃描幾個小時都不能探索完網站的全部結構。持續時間過長還可能形成AppScan出現卡頓，顯示「正在掃描中」，但實際上已經沒有繼續再掃描。所以，當第一次探索了大概的網站結構和容量以後，若容量巨大，最好分而治之，按模塊結構分次進行掃描測試

【7】結果分析（Analysis）

在APPScan掃描結果基礎上，根據不一樣的嚴重級別進行排序、手工+工具驗證的方式對漏洞驗證可靠性，排除誤報的狀況，並儘量找出漏報的狀況，把本次掃描結果彙總，對以上已驗證存在的安全漏洞排列優先級、漏洞威脅程度，並提出每一個漏洞的修復建議

而後，再把這次安全漏洞整理的報告提交給項目負責人，由負責人決定哪些漏洞轉給開發工程師修復，然後再由安全測試工程師進行迴歸驗證修復的情況