本文介绍了AppScan的全面评估流程,包括使用扫描配置向导的基本工作流程和高级用户的工作流程。主要内容涵盖选择模板、配置扫描、手动探索站点、运行主扫描及测试阶段,并对结果进行复审。
基本工作流程
此图显示了使用扫描配置向导的简单 AppScan® 工作流程。
有关基本工作流程的更多详细信息,请参阅工作流程描述
工作流程描述
AppScan® 提供 Web 应用程序的全面评估。它将基于所有级别的典型用户技术以及未授权访问和代码注入运行数千项测试。
当对应用程序运行扫描时,测试会通过 AppScan 发送到 Web 应用程序。测试结果由 AppScan 的站点智能引擎提供,并会产生各种可用于增强复审和操纵的报告与修订建议。
AppScan 是一种交互式工具:您决定扫描的配置并确定要对结果进行的处理。
AppScan 工作流程包含下列阶段:
- 选择模板:预定义的扫描配置即是扫描模板。您可以装入缺省模板,或者是您之前保存的模板。(您可以稍后按照要求为当前扫描调整配置。)
- 应用程序或 Web Service 扫描:扫描 Web 服务要求用户使用 GSC(通用服务客户机)进行一些手动输入,以向 AppScan 说明如何使用此服务。
- Web 应用程序扫描:如果您扫描的不是 Web Service,或者如果您要扫描应用程序中其 Web 服务以外的部分,请保留此缺省选项的选中状态。
- Web Service 扫描:如果您要扫描服务,请选择此选项。随后将打开 GSC(通用服务客户机),以便您可以向服务发送请求并收集结果,以供 AppScan 分析并用于创建测试。
- 扫描配置:配置扫描,将站点、环境以及其他需求的详细信息考虑在内。
- (可选)手动探索:登录到站点,然后单击链接并像用户那样填写表单。这是一个很好的方法来向 AppScan“展示”典型用户如何浏览站点,从而确保扫描站点的重要部分并提供用于填写表单的数据。
- (仅 Web 服务)使用 GSC 发送请求:打开 GSC 并向服务发送一些有效请求。
- (可选)运行 Scan Expert:这是对您的站点的一个简短预扫描,以评估配置。Scan Expert 可能会建议进行更改以提高主扫描的效率。
- 扫描应用程序或服务:这是主扫描,由探索和测试阶段组成。
探索阶段:AppScan 搜寻您的站点(像一般用户那样访问链接),并记录响应。它将创建在您应用程序上所找到的 URL、目录和文件等的层次结构。此列表会显示在应用程序树中(请参阅应用程序树)。
探索阶段可自动完成、手动完成或以两种方式的组合方式完成。此外,您还可以导入探索数据文件(请参阅导出“手动探索”数据),此文件由以前记录的手动探索序列组成。AppScan 随后分析其从站点收集的数据,并且根据这些数据为站点创建测试。这些测试旨在揭露基础结构(例如第三方商品或因特网系统中的安全漏洞)的弱点和应用程序自身的弱点。
测试阶段:在测试阶段中,AppScan 会根据其在探索阶段中接收到的响应来测试您的应用程序,以揭露漏洞并评估其严重性。
可以在“扫描配置”对话框中查看当前版本的 AppScan 中包含的所有测试的最新列表(请参阅“测试策略”视图)。
除 AppScan 自动创建和运行的测试外,您还可以创建用户定义的测试(请参阅用户定义的测试)。 您的测试可对 AppScan 生成的测试进行补充,并且可以验证其发现的结果。
测试结果会显示在结果列表中,您可以从中对其进行查看和修改。结果的完整详细信息会显示在“详细信息”窗格中。
- (可选)Result Expert:处理扫描结果并将信息添加到“问题信息”选项卡(在“详细信息”窗格中),包括 CVSS 度量评分和相关截屏。
- (可选)运行恶意软件测试:这将分析站点上找到的页面和链接是否包含恶意内容和其他不需要的内容。
注: 尽管恶意软件测试原则上可在此阶段执行(在此情况下将使用主扫描的探索阶段结果),但在实践中,恶意软件测试通常在实时站点上运行,而常规扫描通常在测试站点上运行(因为扫描实时站点存在将其中断的风险)。 - 复审结果用于评估站点的安全状态。Result Expert 可就此对您进行帮助。
您可能还需要执行以下操作:
- 手动探索其他链接
- 复审修复任务
- 打印报告
- 根据您对结果的复审,在必要的情况下调整扫描配置,然后再次扫描
扫一扫
1833
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
