1、1、 環(huán)境搭建1. 軟件下載官網下載地址：破解版下載地址： 密碼：u7z32. 軟件安裝直接運行安裝包，按照提示安裝即可3. 軟件破解將破解補丁替換“.IBMAppScan Standard”安裝目錄下同名文件2、 測試流程以下內容以appscan9.0為例1. 啟動appscan點擊運行appscan.exe即可2. 創(chuàng)建掃描1) 在歡迎頁面選擇->創(chuàng)建新的掃描，打開新建掃描面板，如下圖：2) 9.0沒有綜合掃描模板，一般選擇常規(guī)掃描模板，選擇模板后打開掃描配置面板，如下圖：3) 在掃描向導中選擇掃描類型，一般選擇web應用程序掃描；若要選擇web service掃描，需安裝GSC；除

2、了按照提示一步步操作，也可以點擊右下角完全掃描配置進行掃描配置（具體可參照二.3）；選擇完掃描類型后，點擊下一步打開配置URL和服務器面板，如下圖：4) 起始URL中輸入要掃描的站點，可以是域名格式，也可以是IP格式；如果勾選了“僅掃描此目錄中或目錄下的鏈接”，則會只掃描起始URL目錄或者子目錄中的鏈接；區(qū)分大小寫的路徑：如果選中，則大小寫不同的鏈接會被視為兩個頁面，如A.apsx和a.spsx；建議linux或UNIX服務器時勾選，windows服務器時不勾選；其他服務器和域：如果應用程序包含的服務器或域不同于“起始 URL”包含的服務器或域，則應該添加到此處，如和二級域不同；我需要配置其他

3、連接設置：缺省情況下，AppScan 會使用 Internet Explorer 代理設置，默認不勾選，若勾選，點擊下一步會打開配置代理頁面；配置完成后，點擊下一步打開登錄管理面板，如下圖：5) 登錄管理提供4種選項：a) 記錄：推薦使用，選擇此項，appscan將使用所記錄的登錄過程，從而像實際用戶一樣填寫字段。單擊記錄按鈕，打開自帶瀏覽器記錄登錄過程，登錄完成后關閉瀏覽器，會自動將登錄過程列出。b) 提示：如果每次登錄都需要人機交互，請選擇該選項。您必須仍然記錄登錄過程。雖然 AppScan 將不會使用您記錄的過程來嘗試登錄，但是它需要將該過程作為參考來了解何時已被注銷。c) 自動登錄：如

4、果 AppScan 可僅使用名稱和密碼來登錄，而不需要特定的過程，請選擇該選項，然后輸入“用戶名”和“密碼”。d) 不登錄：僅當應用程序不需要登錄時，或因為其他原因，您不想 AppScan 登錄時，才選擇該選項。若賬號密碼錯誤，會提示：回話頁面未識別，需修改登錄管理方式或登錄賬號密碼如果選中我想要配置會話中檢測選項復選框，那么在單擊下一步時，將會打開一個附加的向導步驟：登錄管理：“其他”設置。默認不選中。登錄管理配置完成后，點擊下一步，打開測試策略面板，如下圖：6) Appscan預定義的測試策略可滿足常見需求的有用策略的范圍：策略名稱描述缺省值包含所有測試，但侵入式和端口偵聽器測試除外。僅應

5、用程序包含所有應用程序級別的測試，但侵入式和端口偵聽器測試除外。僅基礎結構包含所有基礎結構級別的測試，但侵入式和端口偵聽器測試除外。僅第三方包含所有第三方級別測試，但侵入式和端口偵聽器測試除外。侵入式包含所有侵入式測試（可能影響服務器穩(wěn)定性的測試）。完成包含所有 AppScan 測試，但端口偵聽器測試除外。Web 服務包含所有 SOAP 相關測試，但侵入式和端口偵聽器測試除外。關鍵的少數包含一些成功可能性極高的測試精選。 在時間有限時對站點評估可能有用。開發(fā)者精要包含一些成功可能性極高的應用程序測試的精選。 在時間有限時對站點評估可能有用。a. 發(fā)送登錄和注銷頁面上的測試：缺省情況下，AppS

6、can 將測試登錄和注銷頁面以及應用程序的其余部分。 您應該保持該缺省配置，除非： 您的應用程序具有安全保護，可阻止在這些頁面上提供非法輸入的用戶，或如果測試這些頁面，您的應用程序流程會改變如果不確定您的應用程序會如何響應這些測試，那么請保持選定該選項。b. 在測試登錄頁面時不發(fā)送會話標識：（該復選框僅當選中了先前復選框時才會處于活動狀態(tài)并缺省選中。）建議將此復選框保留為選中狀態(tài)，因為測試登錄頁面時會話標識可能會導致測試不成功。僅當您確定需要有效會話令牌來測試登錄頁面時，才應清除該復選框。 如果不確定您的應用程序會如何響應，那么請保持選定該選項。完成測試策略配置后，點擊下一步將打開完成配置面板

7、，如下圖：7) 完成配置面板可供選擇啟動掃描的方式如下：a. 啟動全面自動掃描：啟動應用程序的全面掃描（“探索”后將立即進行“測試”）。b. 使用僅自動“探索”來啟動：探索應用程序，但不繼續(xù)“測試”階段。（可以稍后運行“測試”階段）。c. 使用手動探索來啟動：瀏覽器將打開，并且您可以通過單擊鏈接并填寫字段來手動探索站點。AppScan® 將記錄結果，以便在“測試”階段使用。d. 我將稍后啟動掃描：關閉向導，不啟動掃描。下次啟動掃描時，會使用該模板。e. 完成掃描配置后啟動掃描專家：如果想要在啟動主掃描之前讓掃描專家來評估配置，請選中此復選框。掃描專家會登錄應用程序并執(zhí)行簡短、初步的掃

8、描，以評估已配置的設置。如果需要，會建議更改配置。8) 點擊完成按鈕，appscan會按照配置內容開始掃描應用程序。3. 完全掃描配置1) URL和服務器：與創(chuàng)建掃描時一致2) 登錄管理：與創(chuàng)建掃描時一致3) 環(huán)境定義：包括操作系統(tǒng)、web服務器、應用程序服務器、數據庫類型、第三方組件、站點位置、站點類型、部署方法、潛在間接損害、目標分布、可用性需求、機密性需求、完整性需求。環(huán)境定義并不重要，選擇以后，可以使掃描避免無效測試，提高效率4) 排除路徑和文件：通過配置，掃描程序時會忽略應用程序中的某些路徑或文件的特定類型，一般默認即可。5) 探索選項：包括掃描限制、javascript和flash

9、、探索方法、編碼、用戶代理程序；掃描限制：確定appscan探索應用程序的深度，包括冗余路徑限制、單擊深度限制、總頁面限制，勾選后超過數目則不進行掃描；Javascript：確定appscan探索還是忽略javascript腳本，包括解析JavaScript代碼以發(fā)現URL、執(zhí)行JavaScript來發(fā)現URL和動態(tài)內容、重放登錄時執(zhí)行JavaScript。前兩個勾選后appscan會分析掃描javascript腳本；如果應用程序的登錄頁面使用JavaScript代碼，那么必須選中第三個才能使AppScan可以在掃描期間進行登錄。Flash：確定appscan探索還是忽略flash腳本，包括解

10、析Flash以發(fā)現URL、執(zhí)行Flash文件以發(fā)現潛在漏洞。這兩個都勾選后appscan會分析掃描javascript腳本。探索方法：確定appscan探索時是以寬度優(yōu)先還是深度優(yōu)先：寬度優(yōu)先是指逐頁探索，在繼續(xù)下一頁面前探索一個頁面上的所有鏈接，推薦選擇這個。深度優(yōu)先是指按照鏈接逐一探索，并在它找到新鏈接時對每個新鏈接進行探索。編碼：AppScan 通常會自動檢測應用程序的編碼方法，因此缺省情況下會選中自動檢測。如果掃描結果中的響應內容似乎失真，那么這可能意味著未正確識別編碼方法。要解決此問題，請從下拉列表中選擇正確的編碼方法。用戶代理程序：AppScan 通常會自動檢測用戶代理程序，但是，

11、如果您使用的瀏覽器不是內置瀏覽器，且不記錄登錄過程、多步驟操作或手動探索，AppScan 將無法進行自動檢測，因此您必須手動選擇用戶代理程序。6) 參數和cookie：此視圖用于管理三項主要功能：向特定參數和cookie指定特殊處理；定義具有AppScan®可能無法自行識別的特殊格式的參數和cookie；控制對參數和cookie的缺省處理（“冗余調整”）“參數和 cookie”選項卡：使您能夠查看、添加、編輯和刪除全局參數。例如，您的應用程序可能具有某些特定的參數和cookie，而您不希望AppScan在測試期間操縱它們的值。要確保AppScan沒有更改這些參數和cookie，請從測

12、試中排除。例如，如果某些cookie或參數的值被更改，那么您的應用程序可能會鎖定某個用戶會話。您應該將這些參數從控制中排除。如果您沒有將其排除，AppScan可能無法成功完成掃描，因為這些 cookie會將AppScan鎖定到應用程序之外。在“探索”階段中，AppScan會自動檢測到可能是會話標識的cookie和HTML參數，并將其添加到此選項卡中的列表。您可手動添加知道是會話標識的cookie和參數。注： 通過隱藏/顯示模板項按鈕，可以過濾掉源于掃描模板中的但可能與當前掃描無關的項。高級：“定制參數”選項卡：使您能夠添加、編輯和刪除具有 AppScan 可能無法正確識別的定制格式的參數。冗余

13、調整缺省值：通過此鏈接，可以訪問和編輯應用于所有參數的缺省冗余調整（無論是由 AppScan 發(fā)現還是由用戶定義的）。注：更改單獨參數的特定冗余調整在參數定義過程中完成。 更改為缺省值并不追溯性地應用到已定義的參數。 必須對每個參數都手動完成該操作。7) 自動表單填充：指AppScan填寫應用程序中的表單所使用的值。其中許多表單都存在缺省值，并且這些值會自動更新以包含在記錄登錄期間輸入的任何值。可以查看、添加和編輯這些值。8) 錯誤頁面：通過列表中的字符串、正則表達式和URL，識別錯誤頁面。如果將錯誤頁面識別為正確頁面，可能會影響測試結果。9) 多步驟操作：用于測試只能通過以特定順序單擊鏈接來

14、訪問的站點部分，如購物下單。注： 建議將多步驟操作的數量限制在五個，其中每個操作中的步驟數不超過25個，總步驟數不超過70個10) 基于內容的結果：如果AppScan無法基于URL結構來定義應用程序樹的邏輯結構，您可以使用此視圖來執(zhí)行此操作。如果在站點內容的構造方式下，URL 反映類似文件夾的層次結構，那么掃描結果會自動反映這一層次結構，從而使其易于瀏覽。如果站點使用“面包屑”或其他“基于內容”的導航方法，以便 URL 不會指示用戶在站點內的“位置”，那么建議您“教導”AppScan 站點是如何進行“邏輯”構造的，以便其可以用能夠輕松理解的格式來呈現掃描結果，而不是在一個或兩個 URL 下列出

15、冗長的結果。這并非至關重要，但是將使您更輕松地瀏覽結果。11) Glass box：在掃描時，此代理程序會監(jiān)視服務器端的活動，收集源代碼信息和其他數據。這將使掃描變得更為快速和精確。（具體可參照二.4）12) 通信和代理：配置通信超時和代理服務器設置。13) HTTP認證：如果應用程序需要，請?zhí)砑臃掌骷墑e認證和客戶機端證書。14) 測試策略：您可以：查看當前策略的詳細信息編輯當前策略，以創(chuàng)建您自己的“用戶定義的測試策略”導入預定義策略，或先前保存的用戶定義策略15) 測試選項：允許您配置會影響掃描長度和完整性的各種設置。但是，在大多數情況下，缺省設置就已足夠了。16) 特權升級：使用不同的用

16、戶特權運行的掃描，比較不同用戶級別的結果。17) 惡意軟件：啟用惡意軟件測試后，AppScan將在掃描期間檢查應用程序中是否存在指向惡意外部 Web 站點的鏈接，需要互聯(lián)網連接。18) 掃描專家：通過設置，可以決定掃描專家探索的詳盡程度，配置更改是自動還是手動實施，以及評估中會包含配置的哪些“模塊”。19) 結果專家：可運行一個或多個模塊來處理掃描結果，并將其他信息顯示在“詳細信息”窗格的“問題信息”選項卡中。20) 高級配置：更改會影響特定掃描的高級注冊表設置4. 啟動掃描1) 從“掃描配置向導”啟動掃描啟動全面自動掃描使用剛在向導中創(chuàng)建的配置來啟動掃描；使用自動“探索”來啟動并自動繼續(xù)“測

17、試”階段。使用僅自動“探索”來啟動啟動掃描的自動“探索”階段，但請勿自動繼續(xù)“測試”階段。使用“手動探索”來啟動打開瀏覽器以允許手動探索應用程序（請參閱手動探索）。我將稍后啟動掃描關閉向導，不用掃描（例如，想要先進一步編輯掃描配置，然后再啟動掃描，或想要稍后啟動掃描）。2) 從“掃描”菜單或工具欄啟動掃描全面掃描： 運行全面掃描。繼續(xù)“探索”應用程序，直到不再有未訪問的 URL 為止，然后自動繼續(xù)“測試”階段。（如果配置了多階段掃描，請根據需要完成多個階段。）僅探索： “探索”應用程序，但不繼續(xù)“測試”階段。在繼續(xù)“測試階段”之前，該操作允許您先檢查“探索”結果，如果需要，會執(zhí)行手動探索（請參

18、閱手動探索）。僅測試：（站點已探索時才是活動的）基于現有“探索”結果來“測試”站點。5. 掃描中斷1) 掃描因連接問題而停止掃描可能因AppScan和它所掃描的服務器之間的連接問題而停止，或者因AppScan和本地Web代理服務器之間的連接問題而停止。檢測到連接問題后，AppScan等待問題修復時，將會開始90秒的倒計時。如果問題在倒計時期間修復，那么“掃描通知面板”將消失，掃描恢復。如果存在通信問題，那么通知面板將顯示消息：正在嘗試連接至：<IP> 探索/測試將在 <n> 秒后停止 如果掃描連接至多個服務器并且不止一個服務器關閉，那么所顯示的 IP 地址可能是被掃描的

19、服務器的 IP，也可能是代理的 IP（如果連接問題與 Web 代理有關），或者是 IP 的列表。數字 <n> 是 90 秒倒計時。如果問題在倒計時達到零時仍未修復，那么掃描將停止。問題修復后，您可以在掃描停止處繼續(xù)掃描（掃描 > 繼續(xù)）或重新掃描（掃描 > 重新掃描）。2) 掃描因應用程序問題而停止包括：a. 掃描因不能自動填寫所有的輸入表單而導致掃描停止；b. 掃描因遇到缺少 NTLM 認證而導致的中斷鏈接，掃描停止。問題a解決過程：u 選擇應用程序數據視圖。u 選擇需要用戶交互顯示。u 創(chuàng)建這些 URL 的“手動探索”（請參閱手動探索交互式 URL），然后插入表單填

20、充器值。u 繼續(xù)掃描，最好包含另一個自動探索階段。問題b解決過程：n 選擇應用程序數據視圖。n 選擇失敗請求顯示。n 在掃描配置對話框 > 登錄/注銷中，輸入平臺認證詳細信息。n 重新運行“探索”階段以繼續(xù)掃描。6. 主窗口界面當在“視圖選擇器”中選擇不同視圖時，在“應用程序樹”、“結果列表”和“詳細信息窗格”中所顯示的信息會更改。下表中總結了屏幕的三個部分：數據視圖顯示來自“探索”階段的腳本參數、交互式 URL、已訪問的 URL、中斷鏈接、已過濾的 URL、注釋、JavaScript 和 cookie。應用程序樹：完成應用程序樹。結果列表：從“結果列表”頂部的彈出列表中選擇過濾器，以確

21、定要顯示哪些信息。詳細信息窗格：腳本參數、交互式 URL、已訪問的 URL、中斷鏈接、已過濾的 URL、注釋、JavaScript 和 cookie 的已過濾列表。與其他兩個視圖不同，即使 AppScan® 僅完成了“探索”階段，“應用程序數據”視圖也可用。使用“結果列表”頂部的彈出列表來過濾數據。鍵盤快捷鍵：F2結果：應用程序數據問題視圖顯示發(fā)現的實際問題，從概述級別一直到個別請求/響應級別。這是缺省視圖。應用程序樹：完成應用程序樹。每個項旁的計數器會顯示為項找到的問題數量。結果列表：列出應用程序樹中所選定的節(jié)點的問題，以及每個問題的嚴重性。詳細信息窗格：顯示在“結果列表”中所選定

22、問題的咨詢、修訂建議和請求/響應（包括所使用的所有變體）。鍵盤快捷鍵：F3結果：安全問題任務視圖提供特定修復任務的任務列表，以修訂掃描所找到的問題。應用程序樹：完成應用程序樹。每個項旁的計數器會顯示該項的修訂建議數量。結果列表：列出應用程序樹中所選定的節(jié)點的修訂任務，以及每項任務的優(yōu)先級。詳細信息窗格：顯示在“結果列表”中所選定的修復任務的詳細信息，以及該修復將解決的所有問題。鍵盤快捷鍵：F4結果：修復任務7. 生成報告點擊菜單欄“工具”->“報告”，可以打開生成報告面板，如下圖：1) 報告類型分為5種，如下表：名稱簡短描述安全性報告掃描期間找到的安全問題的報告。 安全信息可能非常廣泛，

23、并可根據您的需要進行過濾。 包括六個標準模板，但根據需要，每個模板都可輕易調整，以包括或排除信息類別。行業(yè)標準報告應用程序針對選定的行業(yè)委員會或您自己的定制標準核對表的一致性（或非一致性）報告。合規(guī)性報告應用程序針對規(guī)范或法律標準的大量選項或您自己的定制“合規(guī)一致性”模板的一致性（或非一致性）報告。增量分析報告“增量分析”報告比較了兩組掃描結果，并顯示了發(fā)現的 URL 和/或安全問題中的差異。基于模板的報告包含用戶定義的數據和用戶定義的文檔格式化的定制報告（格式為 Microsoft Word .doc）。2) 一般創(chuàng)建的是安全性報告，選擇好報告的模板內容后，點擊保存報告即可，報告格式可以是P

24、DF、HTML、TXT、RTF 或 XML。3、 Glass box安裝使用1. 概述常規(guī)掃描將應用程序視為“黑匣”，僅分析其輸出而不“深入探查”該應用程序；而 glass box 掃描則在掃描期間使用安裝在應用程序服務器上的代理程序來檢查代碼本身。因此得名為“glass”box（“明”匣）。glass box 掃描具有以下優(yōu)勢：1) 在“瀏覽”階段期間，glass box 掃描可以揭示符合以下條件的 HTTP 參數：影響服務器端，但在響應中找不到，因此僅靠黑匣掃描無法發(fā)現。（當前僅對 Java 實現了該功能。）2) 在“測試”階段期間，glass box 掃描可以更精準地驗證特定測試（如 SQL 盲注）成功與否，從而減少“誤報”結果數。它還能揭示是否存在無法由黑匣技術檢測出的特定安全性問題。3) glass box 掃描支持 AppScan® 為您顯示實際源代碼中的脆弱性，從而簡化報告和修復過程。2. 安裝配置安裝包分為.Net和java兩種類型，以.net為例：1) 打開 .Program FilesIBMAppScan StandardGlass box；2) 找到 GB_DotNET