{有奖问答}使用 Rational AppScan 如何应对 Web 应用攻击？

Rational AppScan 工作方式比较简单，就像一个黑盒测试工具一样，测试人员不需要了解 Web 应用本身的结构。AppScan 拥有庞大完整的攻击特征库，通过在 http request 中插入测试用例的方法实现几百中应用攻击，再通过分析 http response 判断该应用是否存在相应的漏洞。整个过程简单易懂高效，测试人员可以快速的定位漏洞所在的位置，同时 AppScan 可以详细指出该漏洞的原理以及解决该漏洞的方法，帮助开发人员迅速修复程序安全隐患。对于攻击的特征以及测试用例用户不需要花费大量的精力，WatchFire 团队定期的对特征库进行更新，随着保证与业界的同步，最大化的提高用户的工作效率。

具体流程：定点扫描——扫描启动，进行测试 ——扫描结果查看
在结果报告中，AppScan 以各种维度展现了扫描后的结果，不仅仅定位了问题发生的位置，也提出了问题的解决方案。

同时，AppScan 提供了完善的报表功能，可以支持用户对扫描的结果进行各种分析，包括对行业或者法规的支持程度；同时，AppScan 也提供了一系列的小工具，例如：Authentication Tester 通过暴力检测方法扫描被测网站的用户名称和密码；HTTP Request Editor 提供了编辑 Http request 的功能，等等

[ 本帖最后由 ivaniccy 于 2008-2-26 15:08 编辑 ]

Rational AppScan 工作方式比较简单，就像一个黑盒测试工具一样，测试人员不需要了解Web应用本身的结构。 AppScan 拥有庞大完整的攻击特征库，通过在 http request 中插入测试用例的方法实现几百中应用攻击，再通过分析 http response 判断该应用是否存在相应的漏洞。
  定义扫描
首先确定扫描站点的 URL ，根据默认的模板配置向导，确定扫描的整个站点模型以及你想扫描的漏洞种类。

它模拟各种黑客的攻击方法，如SQL注入、端口扫描等方式，为现有系统做一个全面的安全检测，可以生成检测报告，协助开发人员修改

AppScan 拥有庞大完整的攻击特征库，通过在 http request 中插入测试用例的方法实现应用攻击，再通过分析 http response 判断该应用是否存在相应的漏洞。
通过AppScan 进行一系列高级配置，制定所要检测的 Web 模型，即哪些需要扫描、哪些不需要、扫描的方式等等；也可以定义需要扫描漏洞的列表，从而保证了用户关心的网站模型有无用户所关心的安全漏洞。在检测出安全漏洞之后，提供了全面的解决方案帮助客户快速解决这些问题，最大化的保证 Web 应用的安全。另外，对于 Web 服务 AppScan 同样可以支持。

有没有具体的操作说明呢？/

顶一下，关心操作说明