51Testing软件测试论坛

标题: {有奖问答}使用 Rational AppScan 如何应对 Web 应用攻击？ [打印本页]

作者: fishy 时间: 2008-2-26 11:31
标题: {有奖问答}使用 Rational AppScan 如何应对 Web 应用攻击？
{有奖问答}使用 Rational AppScan 如何应对 Web 应用攻击？

作者: ivaniccy 时间: 2008-2-26 14:55
Rational AppScan 工作方式比较简单，就像一个黑盒测试工具一样，测试人员不需要了解 Web 应用本身的结构。AppScan 拥有庞大完整的攻击特征库，通过在 http request 中插入测试用例的方法实现几百中应用攻击，再通过分析 http response 判断该应用是否存在相应的漏洞。整个过程简单易懂高效，测试人员可以快速的定位漏洞所在的位置，同时 AppScan 可以详细指出该漏洞的原理以及解决该漏洞的方法，帮助开发人员迅速修复程序安全隐患。对于攻击的特征以及测试用例用户不需要花费大量的精力，WatchFire 团队定期的对特征库进行更新，随着保证与业界的同步，最大化的提高用户的工作效率。

具体流程：定点扫描——扫描启动，进行测试 ——扫描结果查看
在结果报告中，AppScan 以各种维度展现了扫描后的结果，不仅仅定位了问题发生的位置，也提出了问题的解决方案。

同时，AppScan 提供了完善的报表功能，可以支持用户对扫描的结果进行各种分析，包括对行业或者法规的支持程度；同时，AppScan 也提供了一系列的小工具，例如：Authentication Tester 通过暴力检测方法扫描被测网站的用户名称和密码；HTTP Request Editor 提供了编辑 Http request 的功能，等等

[ 本帖最后由 ivaniccy 于 2008-2-26 15:08 编辑 ]

作者: cjh0901 时间: 2008-3-11 18:03
Rational AppScan 工作方式比较简单，就像一个黑盒测试工具一样，测试人员不需要了解Web应用本身的结构。 AppScan 拥有庞大完整的攻击特征库，通过在 http request 中插入测试用例的方法实现几百中应用攻击，再通过分析 http response 判断该应用是否存在相应的漏洞。
定义扫描
首先确定扫描站点的 URL ，根据默认的模板配置向导，确定扫描的整个站点模型以及你想扫描的漏洞种类。

作者: happygod 时间: 2008-3-17 19:12
AppScan 拥有庞大完整的攻击特征库，通过在 http request 中插入测试用例的方法实现应用攻击，再通过分析 http response 判断该应用是否存在相应的漏洞。
通过AppScan 进行一系列高级配置，制定所要检测的 Web 模型，即哪些需要扫描、哪些不需要、扫描的方式等等；也可以定义需要扫描漏洞的列表，从而保证了用户关心的网站模型有无用户所关心的安全漏洞。在检测出安全漏洞之后，提供了全面的解决方案帮助客户快速解决这些问题，最大化的保证 Web 应用的安全。另外，对于 Web 服务 AppScan 同样可以支持。

作者: cq0417 时间: 2008-4-14 21:19
有没有具体的操作说明呢？/

作者: kklv 时间: 2008-5-8 11:46
顶一下，关心操作说明

作者: lxq007 时间: 2008-7-9 14:34
刚接触，有没有详细的操作指南，上边说的http request 这个，如何插入测试脚本，有没详细些的

作者: linneng 时间: 2008-7-16 14:27
appscan一般是用来做安全评估的,当然,有时候也可以成为入侵的利器.

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)