AppScan安全整改测试总结
本帖最后由 Longtop2012 于 2012-11-20 14:02 编辑安全整改测试方法
电信版本安全整改测试主要是使用AppScan工具进行手机报系统的安全检测。使用说明如下:
1、录制手机报portal登陆、退出页面的URL
步骤一:安装AppScan工具,双击桌面的IBM Rational AppScan 7.8快捷工具,在出现的页面单击“创建新的额扫描…”,如图所示:
步骤二:选择模板,在弹出的新建扫描页面单击“常规扫描”,如图所示:
步骤三:进入扫描配置向导页面,单击“下一步”,如图所示:
步骤四:在起始URL地址栏填写需要检测的手机报环境的portal
地址,然后单击“下一步”,如图所示:
步骤五:单击“录入”,如图所示:
步骤六:打开手机报portal页面,如图所示:
步骤七:选择“是”,在登陆页面的用户名、密码、验证码输入正确信息,点击“登陆”,进行手机报系统,如图所示:
步骤八:单击“退出”按钮,退出portal页面,如图所示:
步骤九:点击“暂停记录”,暂停录制页面,如图所示:
步骤十:关闭浏览器,在扫描配置页面单击“下一步”,如图所示:
步骤十一:在最近的策略下选择“Default”,单击“下一步”,如图所示:
步骤十二:完成扫描配置,选择“我将稍后启动扫描”选项,单击“完成”,如图所示:
2、进行扫描配置
步骤一:完成扫描录制后,单击菜单的“扫描配置”,如图所示:
步骤二:在扫描配置页面,单击登陆管理菜单,选择详细信息,修改登陆序列下所有URL的类型为登陆(第一个URL除外,仍为常规),如图所示:
步骤三:去掉会话中检测下的激活会话检测的选项,如图所示:
步骤四:选择登陆会话标识下的最后一个标识,单击停止跟踪(全局),单击“确认”,完成扫描配置,如图所示:
3、安全扫描
步骤一:完成扫描配置后,单击菜单栏的“扫描”->“安全扫描”,如图所示:
步骤二:在弹出的自动保存页面,单击“是”,保存录制的信息,保存文件名后缀为.scan,如图所示:
保存完成后立即进行扫描,并显示扫描完成进度、所需时间、扫描出的问题类型、问题级别和个数统计等,如图所示:
表示高严重性问题, 表示中等严重性问题, 表示一般严重性问题, 表示参考或提示性的问题。其中,高严重性和中等严重性问题必须修改(但报会话标识未更新除外,跨站点请求伪造中passwordmod.do除外,均不修改)。
扫描过程中也可单击“暂停”按钮暂停扫描,如图所示:
4、手动探索
扫描配置完成后即可进行手动探索,检测手机报portal其他页面。
步骤一:单击菜单栏的“手动探索”,如图所示:
步骤二:打开手机报portal页面,在登陆页面的用户名、密码、验证码输入正确信息,点击“登陆”,如图所示:
步骤三:进入手机报portal页面,并进行页面操作,且每个页面所有可操作的按钮(增、删、改、查)或链接都需要操作一遍(包括返回按钮),各个输入框也需做正常值和异常值(特殊字符)的输入。如添加敏感字页面,输入一个正常敏感字和一个带特殊字符的敏感字,分别进行提交,如图所示:
步骤四:录取完所要测试的页面后即可单击“暂停记录”,停止录制页面,如图所示:
步骤五:关闭浏览器,手动探索显示录制的portal页面URL,且默认添加所有,单击“确定”,如图所示:
步骤六:确定后AppScan工具加载添加的url内容,加载完后即可再次进行安全扫描,如图所示:
其中,问题信息会展示出现某一个问题对应的所有URL地址,如图所示:
咨询显示对某个问题进行介绍分析等信息,如图所示:
修订建议展示修改该问题的方法,如图所示:
附录:
1、AppScan工具的安装可直接查看共享文件中的ReadMe.txt
2、portal页面可输入特殊字符的地方需注意特殊字符是否转义入库,需转义字符及转义入库值如下:
& &
< <
> >
\ "
$ $
% %
\' '
( (
) )
* *
- -
/ /
= =
? ?
[ [
\\ \
^ ^
| |
+ + 好多附件 很不错的说 下来看看 回复 2# 愚人 没办法,新申请的账号等级太低,传不了大的附件,只能压缩切割文件上传了,还请见谅了 回复 3# 没翅膀的飞鱼
你有下载看了?? 回复 6# icu200934
看了一点,这个工具以前用过一阶段,现在都不用了 凭感觉这是个好东西 Thank you very much for sharing!The good man!The good life of peace! 好东东 好像不错,下载看看先。。 这么多是什么东东 支持分享 谢谢总结分享,一起进步 楼主太坏了 所有的附件都是一样的 下载了一个。解压的时候提示有错误!!!! 解压的时候出错,哪位大神有解压好的文件啊 Mark, look back
页:
[1]