51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 7333|回复: 16
打印 上一主题 下一主题

如何使用AppScan扫描大型网站[1]-大纲

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2011-6-6 23:05:56 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
如何使用AppScan扫描大型网站

经常有客户抱怨,说AppScan无法扫描大型的网站,或者是扫描接近完成时候无法保存,甚至保存后的结果文件下次无法打开?;同时大家又都很奇怪,作为一款业界出名的工具,如此的脆弱?是配置使用不当还是自己不太了解呢?我们今天就一起来讨论下AppScan扫描大型网站会遇到的问题以及应对。

AppScan工作原理和网站规模讨论

1)
网站规模

2)
AppScan的工作原理

3)
扫描规模:AppScan的扫描能力收到哪些因素的影响?


好的,对AppScan工具和网站的特点有了了解以后,我们来讨论如何更有效地使用AppScan来进行安全扫描,特别是扫描大型网站?

使用AppScan来进行扫描

我们按照PDCA的方法论来进行规划和讨论; 建议的AppScan使用步骤:PDCA: Plan,Do,check, Action andAnalysis.


计划阶段:明确目的,进行策略性的选择和任务分解。

1)
明确目的:选择合适的扫描策略

2)
了解对象:首先进行探索,了解网站结构和规模

3)
确定策略:进行对应的配置

a)
按照目录进行扫描任务的分解

b)
按照扫描策略进行扫描任务的分解


执行阶段:一边扫描一遍观察

4)

进行扫描

5)
先爬后扫(继续仅测试)


检查阶段(Check)

6)

检查和调整配置


结果分析(Analysis)

7)

对比结果

8)

汇总结果(整合和过滤)


其他常见的AppScan配置:

1)

扫描保存的间隔时间

2)

内存使用量

3)

临时文件的保存路径

4)
AppScan的工作原理

分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

该用户从未签到

2#
 楼主| 发表于 2011-6-6 23:12:38 | 只看该作者
AppScan的工作原理 (图表请参照附件)


AppScan其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的AppScan source edition,到针对WEB应用进行快速扫描的AppScan standard edition.以及进行安全管理和汇总整合的AppScan enterprise Edition等,我们经常说的AppScan就是指的桌面版本的AppScan,即AppScan standard edition.其安装在Windows操作系统上,可以对网站等WEB应用进行自动化的应用安全扫描和测试。
来张AppScan的截图,用图表说话,更明确。


图表 1 AppScan标准版界面
请注意右上角,单击“扫描”下面的小三角,可以出现如下的三个选型“继续完全扫描”,“继续仅探索”,“继续仅测试“,有木有?什么意思? 理解了这个地方,就理解了AppScan的工作原理,我们慢慢展开:
还没有正式开始,所以先不管“继续“,直接来讨论’完全扫描”,“仅探索”,“仅测试”三个名词:

AppScan是对网站等WEB应用进行安全攻击,通过真刀真枪的攻击,来检查网站是否存在安全漏洞;既然是攻击,肯定要有明确的攻击对象吧,比如北约现在的对象就是卡扎菲上校还有他的军队。对网站来说,一个网站存在的页面,可能成千上万。每个页面也都可能存在多个字段(参数),比如一个登陆界面,至少要输入用户名和密码吧,这就是一个页面存在两个字段,你提交了用户名密码等登陆信息,网站总要有地方接受并且检查是否正确吧,这就可能存在一个新的检查页面。这里的每个页面的每个参数都可能存在安全漏洞,所有都是被攻击对象,都需要来检查。
这就存在一个问题,你领命来检查一个网站的安全性,这个网站有多少个页面,有多少个参数,页面之间如何跳转,你可能很不明确,如何知道这些信息? 看起来很复杂,盘根错节;那就更需要找到那个线索,提纲挈领; 那就想一想,访问一个网站的时候,我们需要知道的最重要的信息是哪个?网站主页地址吧? 从网站地址开始,很多其他频道,其他页面都可以链接过去,对不对,那么可不可以有种技术,告诉了它网站的入口地址,然后它“顺藤摸瓜”,找出其他的网页和页面参数? OK,这就是”爬虫” 技术,具体说,是”网站爬虫“,其利用了网页的请求都是用http协议发送的,发送和返回的内容都是统一的语言HTML,那么对HTML语言进行分析,找到里面的参数和链接,纪录并继续发送之,最终,找到了这个网站的众多的页面和目录。这个能力AppScan就提供了,这里的术语叫“探索”,explorer,就是去发现,去分析,了解未知的,记录。

在使用AppScan的时候,要配置的第一个就是要检查的网站的地址,配置了以后,AppScan就会利用“探索”技术去发现这个网站存在多少个目录,多少个页面,页面中有哪些参数等,简单说,了解了你的网站的结构。

“探索”了解了,测试的目标和范围就大致确定了,然后呢,利用“军火库”,发送导弹,进行安全攻击,这个过程就是“测试”;针对发现的每个页面的每个参数,进行安全检查,检查的弹药就来自AppScan的扫描规则库,其类似杀毒软件的病毒库,具体可以检查的安全攻击类型都在里面做好了,我们去使用即可。

那么什么是“完全测试呢”,完全测试就是把上面的两个步骤整合起来,“探索”+ “测试”;在安全测试过程中,可以先只进行探索,不进行测试,目的是了解被测的网站结构,评估范围; 然后选择“继续仅测试”,只对前面探索过的页面进行测试,不对新发现的页面进行测试。“完全测试”就是把两个步骤结合在一起,一边探索,一边测试。

小结下,继续来图表,一张图胜过10行文字:

图表 2 扫描原理:扫描规则库+ 爬行 + 测试
步骤1:探索(爬行,爬网)

步骤2:测试:



好的,了解了AppScan的原理,我们就结合原来来讨论下为什么扫描大型网站时候可能遇到问题了。

什么叫大型网站,顾名思义,网站规模大,具体说是页面很多,内容很全。比如www.sina.com.cn,比如http://music.10086.cn/,都包括上万个页面。而且除了这个,可能还有一个特点---页面参数多,即要填写的地方多,和用户的交互多;比如一个网站如果都是静态页面(.html,.jpg等),没有让用户输入的地方,那么可以利用,可以作为攻击点的地方也就不多。如果页面到处都是有输入,有查询,要求用户来参与的,你输入的越多,可能泄露的信息也越多,可能被别人利用的攻击点也就越多,所以和页面参数也是有关系的。AppScan声称测试用例的时候,也是根据每个参数来产生的,简单说,如果一个参数,对应了200个安全攻击测试用例,那么一个登陆界面至少就对应400个了,为什么?登陆界面至少有用户名和密码两个字段吧? 每个字段200个攻击用例。

这个简单吧,还可以更复杂:如果遇到下面的两个地址,那要扫描多少次呢?
http://www.Test/10086/focus/satisfy/file.jsp?id=1
http://www.Test/10086/focus/satisfy/file.jsp?id=2
上面的两个地址有类似的,“?”号以前的URL地址完全一样,”?”号后面带的参数不同,这种可以认为是重复页面,那么对于重复页面,是否要重复测试呢?
这取决于“冗余路径设置”,默认的是最多测试5次;即,这种类型URL出现的前5次,那么就是要测试1000个攻击用例了。

如果再继续修改下:遇到下面的URL呢
http://www.Test/10086/focus/satisfy/file.jsp?id=1&Item=open
http://www.Test/10086/focus/satisfy/file.jsp?id=2&Item=close
每个URL里面都有2个参数,测试的次数就更多了。想象下,如果这个网页里面的参数如果是10个,或者更多的呢?比如很多网站提交注册信息的时候,要填写的内容足够多吧?
要进行的安全测试用例也就随之不断增加…

这是网站规模的影响,还有一个问题,就出在“每个参数,发送200个安全测试用例”这个假设上。这个假设的前提来源于哪里? 来源于我们选择的扫描规则库。即你关心那些安全威胁,这个需要在测试策略里面选择。同样来参照杀毒软件,你会用杀毒软件来查找一些专用的病毒吗,比如CIH,比如木马;应用安全扫描也是一样的道理,如果有明确的安全指标或者安全规则范围,那么就选择之。这些可能来源于企业的规范,来源于政府的法律法规。就要根据你的理解,在这里选择。


图表 3 选择测试策略
  很多时候,我们也很难在最开始的阶段,就把扫描规范制定下来,按照项目经理们的口头禅“渐进明细”,“滚动式规划”,在实践中,更多时候也是摸着石头过河,选择了一个扫描策略,然后根据结果分析,看是否需要调整,不断优化。比如选择默认的“缺省值’扫描策略,对网站进行扫描,发现其”敏感信息“里面会去检查页面上是否含有Email地址,是否含有信用卡号码等,如果我们觉得这些信息,显示在页面上是正常的业务需要,”(比如有问题请联系admin@www.test.com),我们就可以取消掉这些规则,所以扫描规则也很大程度上影响着我们的扫描效率。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

x
回复 支持 反对

使用道具 举报

  • TA的每日心情
    奋斗
    2017-5-10 17:38
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]测试小兵

    3#
    发表于 2011-6-13 15:38:44 | 只看该作者
    感谢楼主!对AppScan的掌握又进了一步。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    4#
    发表于 2011-6-18 06:25:31 | 只看该作者
    谢谢楼主,现在我真的很头痛啊,你给我理清了一些思路
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-2-25 10:57
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    5#
    发表于 2011-6-27 18:55:36 | 只看该作者
    学习了。呵呵
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2015-11-30 13:55
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]测试小兵

    6#
    发表于 2011-9-2 14:33:10 | 只看该作者
    xuexi l o a
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    7#
    发表于 2011-9-8 18:10:30 | 只看该作者
    楼主啊,好东西,可是附件弄下来打不开啊
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    8#
    发表于 2011-11-3 10:17:16 | 只看该作者
    感谢楼主,你说的很多问题俺都遇到了,好好学习学习
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    9#
    发表于 2012-4-27 15:26:45 | 只看该作者
    謝謝分享
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    10#
    发表于 2012-4-27 15:26:51 | 只看该作者
    謝謝分享
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    11#
    发表于 2012-4-27 15:27:17 | 只看该作者
    謝謝分享 學習了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    12#
    发表于 2012-4-27 15:27:24 | 只看该作者
    謝謝分享 學習了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    13#
    发表于 2012-4-29 11:31:10 | 只看该作者
    谢谢分享。。受教了。。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    14#
    发表于 2012-4-29 11:31:32 | 只看该作者
    谢谢分享。。受教了。。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    15#
    发表于 2012-5-8 10:51:22 | 只看该作者
    原来如此~~~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    16#
    发表于 2012-5-13 15:57:55 | 只看该作者
    陆通**网QQ:726575998英语四级**,英语六级**,苏州**,江苏**,济南**,自考**,社会工作者**,公共营养师**,管理咨询师**,理财规划师**,内蒙古**,辽宁**,大连**,翻译专业资格证待考  www.ctzkw.com
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    17#
    发表于 2012-5-21 16:48:39 | 只看该作者
    hao o
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-23 02:30 , Processed in 0.087843 second(s), 28 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表