qileilove
          

          blog已經轉移至github,大家請訪問 http://qaseven.github.io/
          
			
          
				
					
	
          
		
          
			Appscan安全漏洞掃描使用
		
          
		
           這里主要分享如何使用AppScan對一大項目的部分功能進行安全掃描。
            ------------------------------------------------------------------------
            其實,對于安全方面的測試知道的甚少。因為那公司每個月要求對產品進行安全掃描。掌握了一人點使用技巧,所以拿來與大家分享。
            因為產品比較大,功能模塊也非常之多,我們不可能對整個產品進行掃描。再一個每個測試員負責測試的模塊不同。我們只需要對自己負責測試的模塊掃描即可。
            掃描工具自然是IBM AppScan  ,功能強大,使用簡單。略懂安全測試的都使用或聽說過這個工具。這里就不過多介紹了。
            抽取被掃描功能的鏈接
            首先要抽取掃描的鏈接。fiddler工具來抽取。打開系統,找到你需要做掃描的功能模塊,開啟fiddler攔截功能,然后對你所要測試的功能做各種操作,fiddler就會記錄的所有訪問的鏈接,因為涉及到隱私,所以下圖會比較模糊。
            其實,請求中有非常多的鏈接,但許多是一樣,我們只要把不一樣的全找出來就可以了。這里你需要知道每個連接的情況。也有一些外部鏈接是不需要抽取的。
          aaa.bbb.cn
          g2.aaa.bbb.cn
          g1.aaa.bbb.cn
          webapp.aaa.bbb.cn
          uec.aaa.bbb.cn
          addrapi.aaa.bbb.cn
          smsrebuild1.aaa.bbb.cn
          disk2.aaa.bbb.cn
          mw.aaa.bbb.cn
          scriptlog.aaa.bbb.cn
          images.139cm.com
          appmail.aaa.bbb.cn
          gfile5-disk.aaa.bbb.cn
          gfile8-disk.aaa.bbb.cn
          gfile7-disk.aaa.bbb.cn
            把所有鏈接抽取出來之后就沒幾個了。去掉重復的就沒多少了。
            完成配置向導
            下面打開appscan創建掃描。
            選擇常規掃描,進入配置向導。點擊下一步,進入配置
            上面這一步是重點,起始URL填寫你要掃描的網址。其它服務器和域:這里把抽取的所有鏈接都添加進去。包括后網站的首頁鏈接。點擊下一步。
            這里提供三種方式來記錄帳號,不多介紹。第一種和第三種最常用。
            然后點擊幾個下一步后出現后面的選項,選擇第三個或第四項完成掃描的配置。

           錄制掃描腳本
            完成配置后,下面就要開始錄制腳本了呢。
            點擊工具欄上的探索按鈕,appscan會打開自帶瀏覽器,輸入系統用戶名密碼登錄系統,對你要掃描的模塊功能進行操作。
            上圖為我打開的appscan自帶瀏覽器(因為我輸入的網址有誤,所以無法訪問)。操作完成之后,點擊暫停按鈕,關閉瀏覽器窗口即可。
            關閉瀏覽器后,上面的窗口中會記錄所有你訪問的連接,點擊確定。所有的信息就會記錄下來了,下面要做的點擊點擊工具欄上的掃描按鈕開始掃描。我們一般晚上下班進行,第二天早上來看掃描結果就可以了。
            ------------------------------------
            本來到這里就可以結束了,我再多說個設置。呵呵!在手動探索的時候,因為打開的瀏覽器是appscan自帶的,可能會存在兼容性問題,有些頁面無法正常打開。那么是否可以用我們電腦上的瀏覽器(IE 、火狐、谷歌)來進行錄制呢了。當然是可以的。
            菜單欄--工具---選項----高級
            這個一定要大圖,我們只需要修改openExternalBrowser 選項“值”的參數就可以了(1=IE、2=firefox、3=chrome)。
            安全測試挺有前途的,國內起步很晚,這兩年才逐漸受到重視。公司也越來越重視安全。

          
		
          
			posted on 2014-08-13 09:59 順其自然EVO 閱讀(1174) 評論(0)  編輯  收藏  所屬分類: 測試學習專欄 
		
          
	
          
	
	


	


          
	    
    




          








          

				
			
          
			
          
				
					
          
	
          
		
          <2014年8月>
          
	
          272829303112
          3456789
          10111213141516
          17181920212223
          24252627282930
          31123456
          

          

					

          導航
          

					

          統計
          
	
					
					

          常用鏈接
          


          留言簿(55)
          


		
          隨筆分類
          
		
				
			
	
		
          隨筆檔案
          
		
				
			
	
		
          文章分類
          
		
				
			
	
		
          文章檔案
          
		
				
			
	



          搜索
          



          最新評論
	
          

          
	
			
		

          


          閱讀排行榜
          



          評論排行榜
          


				
			
          			
			

	

    







          
        
	




主站蜘蛛池模板:
赣榆县|
阿鲁科尔沁旗|
托里县|
牙克石市|
乌恰县|
正镶白旗|
固阳县|
湖南省|
乡宁县|
灌云县|
日喀则市|
徐闻县|
永清县|
永丰县|
开鲁县|
安福县|
五大连池市|
嘉鱼县|
冕宁县|
吴江市|
漠河县|
石城县|
京山县|
余干县|
高青县|
沧州市|
同德县|
泸定县|
永城市|
镶黄旗|
江达县|
汶上县|
临猗县|
遵义县|
长泰县|
班戈县|
杭锦旗|
奈曼旗|
灌南县|
通榆县|
永州市|