Longtop2012 发表于 2012-11-20 13:58:09

AppScan安全整改测试总结

本帖最后由 Longtop2012 于 2012-11-20 14:02 编辑

安全整改测试方法
电信版本安全整改测试主要是使用AppScan工具进行手机报系统的安全检测。使用说明如下:
1、录制手机报portal登陆、退出页面的URL
步骤一:安装AppScan工具,双击桌面的IBM Rational AppScan 7.8快捷工具,在出现的页面单击“创建新的额扫描…”,如图所示:

步骤二:选择模板,在弹出的新建扫描页面单击“常规扫描”,如图所示:

步骤三:进入扫描配置向导页面,单击“下一步”,如图所示:
步骤四:在起始URL地址栏填写需要检测的手机报环境的portal
地址,然后单击“下一步”,如图所示:

步骤五:单击“录入”,如图所示:

步骤六:打开手机报portal页面,如图所示:

步骤七:选择“是”,在登陆页面的用户名、密码、验证码输入正确信息,点击“登陆”,进行手机报系统,如图所示:

步骤八:单击“退出”按钮,退出portal页面,如图所示:

步骤九:点击“暂停记录”,暂停录制页面,如图所示:

步骤十:关闭浏览器,在扫描配置页面单击“下一步”,如图所示:

步骤十一:在最近的策略下选择“Default”,单击“下一步”,如图所示:

步骤十二:完成扫描配置,选择“我将稍后启动扫描”选项,单击“完成”,如图所示:


2、进行扫描配置
步骤一:完成扫描录制后,单击菜单的“扫描配置”,如图所示:

步骤二:在扫描配置页面,单击登陆管理菜单,选择详细信息,修改登陆序列下所有URL的类型为登陆(第一个URL除外,仍为常规),如图所示:

步骤三:去掉会话中检测下的激活会话检测的选项,如图所示:

步骤四:选择登陆会话标识下的最后一个标识,单击停止跟踪(全局),单击“确认”,完成扫描配置,如图所示:

      
3、安全扫描
步骤一:完成扫描配置后,单击菜单栏的“扫描”->“安全扫描”,如图所示:

步骤二:在弹出的自动保存页面,单击“是”,保存录制的信息,保存文件名后缀为.scan,如图所示:


保存完成后立即进行扫描,并显示扫描完成进度、所需时间、扫描出的问题类型、问题级别和个数统计等,如图所示:

表示高严重性问题, 表示中等严重性问题, 表示一般严重性问题, 表示参考或提示性的问题。其中,高严重性和中等严重性问题必须修改(但报会话标识未更新除外,跨站点请求伪造中passwordmod.do除外,均不修改)。
扫描过程中也可单击“暂停”按钮暂停扫描,如图所示:


4、手动探索
扫描配置完成后即可进行手动探索,检测手机报portal其他页面。
步骤一:单击菜单栏的“手动探索”,如图所示:

步骤二:打开手机报portal页面,在登陆页面的用户名、密码、验证码输入正确信息,点击“登陆”,如图所示:

步骤三:进入手机报portal页面,并进行页面操作,且每个页面所有可操作的按钮(增、删、改、查)或链接都需要操作一遍(包括返回按钮),各个输入框也需做正常值和异常值(特殊字符)的输入。如添加敏感字页面,输入一个正常敏感字和一个带特殊字符的敏感字,分别进行提交,如图所示:


步骤四:录取完所要测试的页面后即可单击“暂停记录”,停止录制页面,如图所示:

步骤五:关闭浏览器,手动探索显示录制的portal页面URL,且默认添加所有,单击“确定”,如图所示:

步骤六:确定后AppScan工具加载添加的url内容,加载完后即可再次进行安全扫描,如图所示:

其中,问题信息会展示出现某一个问题对应的所有URL地址,如图所示:

咨询显示对某个问题进行介绍分析等信息,如图所示:

修订建议展示修改该问题的方法,如图所示:


附录:
1、AppScan工具的安装可直接查看共享文件中的ReadMe.txt
2、portal页面可输入特殊字符的地方需注意特殊字符是否转义入库,需转义字符及转义入库值如下:
&       &
<       <
>       >
\       "
$       $
%      %
\'       '
(       (
)       )
*       *
-       -
/       /
=       =
?       ?
[       [
\\       \
^       ^
|       |
+       +

愚人 发表于 2012-11-20 20:10:38

好多附件

没翅膀的飞鱼 发表于 2012-11-21 07:39:35

很不错的说

msnshow 发表于 2012-11-22 19:50:29

下来看看

Longtop2012 发表于 2012-11-23 00:16:02

回复 2# 愚人 没办法,新申请的账号等级太低,传不了大的附件,只能压缩切割文件上传了,还请见谅了

icu200934 发表于 2012-11-26 17:57:40

回复 3# 没翅膀的飞鱼


    你有下载看了??

没翅膀的飞鱼 发表于 2012-11-26 18:09:40

回复 6# icu200934

看了一点,这个工具以前用过一阶段,现在都不用了

千里 发表于 2012-11-28 18:46:24

凭感觉这是个好东西

fengerapple 发表于 2013-1-25 18:08:19

Thank you very much for sharing!The good man!The good life of peace!

Doingxu 发表于 2013-4-25 11:36:16

好东东

51mobile 发表于 2013-6-7 11:12:20

好像不错,下载看看先。。

jetqu 发表于 2013-7-22 14:45:58

这么多是什么东东

xdslll 发表于 2013-7-22 15:06:43

支持分享

兔兔仙888 发表于 2015-11-30 17:10:22

谢谢总结分享,一起进步

火狐狸326 发表于 2017-3-31 10:11:36

楼主太坏了   所有的附件都是一样的

xiaoxiaohouzi 发表于 2017-4-27 14:45:31

下载了一个。解压的时候提示有错误!!!!

云之端11 发表于 2017-8-7 14:29:19

解压的时候出错,哪位大神有解压好的文件啊

神之左手 发表于 2018-8-18 15:51:37

Mark, look back
页: [1]
查看完整版本: AppScan安全整改测试总结