专栏首页用户6517667的专栏安全测试工具(连载3)

安全测试工具(连载3)

1.3 AppScan

RationalAppScan(简称 AppScan)是一个产品家族,它包括众多的应用安全扫描产品,从开发阶段的源代码扫描的AppScan source edition,到针对WEB应用进行快速扫描的AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的AppScan是指的桌面版本的AppScan,即AppScan standard edition。其安装在Windows操作系统上,可以对网站等Web应用进行自动化的应用安全扫描和测试。本书介绍的AppScan版本为V9.0.3.10。

AppScan特性如下。

l Flash支持:AppScan相对早期的版本增加了flash支持功能,它可以探索和测试基于Adobe的Flex框架的应用程序,也支持AMF协议。

l Glass box testing:是AppScan中引入的一个新的功能。在这个过程中,安装一个代理服务器,这有助于发现隐藏的URL和其它的问题。

l WEB服务扫描:WEB服务扫描是AppScan中具有有效自动化支持的一个扫描功能。

l Java脚本安全分析:AppScan中介绍了JavaScript安全性分析,分析抓取HTML页面漏洞,并允许用户专注于不同的客户端问题和DOM(文档对象模型)为基础的XSS问题。

l 报告:根据用户要求,可以生成所需格式的报告。

l 修复支持:对于确定的漏洞,程序提供了相关的漏洞描述和修复方案。

l 可定制的扫描策略:AppScan配备一套自定义的扫描策略,可以定制适合需要的扫描策略。

l 工具支持:它有像认证测试,令牌分析器和HTTP请求编辑器等,方便手动测试漏洞。

l Ajax和Dojo框架的支持。

1. “探索”和“测试”

在介绍AppScan之前,先来介绍“探索”和“测试”两个概念。

l 探索”:去发现被扫描网站存在多少个目录、多少个页面、页面中有哪些参数等。简单说,了解被扫描网站的结构。

l “测试”:利用“探索”的结果,使用“军火库”,发送导弹,进行安全攻击的行为。

l “完全测试”:即先探索再测试,使用AppScan可以仅“探索”不“测试”。

2. 设置扫描

打开AppScan,点击菜单“工具->选项->记录代理”,如26所示。

26 记录代理

选择让AppScan自动选择端口(U)。外部链接选择“全部拒绝(仅接受来自本地IP 127.0.0.1的链接)” 仅扫描本地网站。接下来进入“工具->选项->首选项”,如27所示。在“记录并查看浏览器”中不要选择“使用嵌入浏览器(B)”。

27 记录并查看浏览器

3. 扫描

打开菜单“文件->新建”,选择“常规扫描”,在接下来的页面中在“我想使用以下方式进行探索”中选择AppScan(自动或手动),点击【下一步】按键,输入被测网站的URL地址。如28所示。如果连接成功会显示“已连接到服务器”的绿色字体。

28 设置AppScan被测网站

点击【下一步】按键,在“代理”中选择“不适用代理(D)”。如29所示。

29 选择代理

点击【下一步】按键,这里有四个选择,如30所示。

30 选择登录方式

l 记录:使用预登录操作。

l 提示:当AppScan遇到表单,会弹出信息填写。

l 自动:直接自动填写登录信息。

l 无:不登录。

点击【下一步】按键,选择测试策略,如31所示。

31 选择测试策略

点击【下一步】按键,选择如何启动,如32所示。

32 如何启动选择

最后点击【完成】,确认是否需要保存扫描结果。如33所示。

33 是否需要保存扫描结果

接下来,如果选择的是“完全测试”,系统将先进行“探索”然后进行“测试”操作。

扫描完毕,点击即可查看发现的问题,如34所示。

34 AppScan扫描结果

4. 设置定时扫描

点击菜单“工具->扫描调度程序”然后点击【新建(N)…】按键,进入定时扫描界面,如35所示。

35 AppScan设置定时扫描

5. 扫描结果保存

点击菜单“文件->导出”然后选择保存的文件格式,即可把扫描结果以文件的形式进行保存。如36所示。

36 AppScan导出扫描结果

创建扫描报告

点击菜单“工具->创建报告”或者图标,进入报告配置页面,如37所示。

37 AppScan设置报告

配置完毕,点击【保存报告(S)…】,即可保存报告,如38所示。

38 AppScan报告

其他一些小工具,比如:“认证测试程序”“网络连接测试”“编解码器”“正则表达式测试”和“HTTP请求编辑器”,比较简单,本书不进行详细介绍。

星云测试

http://www.teststars.cc

奇林软件

http://www.kylinpet.com

联合通测

http://www.quicktesting.net

本文分享自微信公众号 - 软件测试培训(iTestTrain),作者:顾翔

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-09-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 安全测试工具(连载2)

    AWVS即Acunetix WVS,全称Acunetix Web Vulnerability Scanner,它是一款常用的WEB应用程序安全测试工具,该工具可...

    小老鼠
  • 实战 TestNG 监听器

    TestNG 是一个开源的自动化测试框架,其灵感来自 JUnit 和 NUnit,但它引入了一些新功能,使其功能更强大,更易于使用。TestNG 的设计目标是...

    小老鼠
  • 基于Django的电子商务网站开发(连载19)

    表3-3为修改用户密码测试用例,在这里我们假设旧密码为“000000”,新密码为“123456”,设计4个测试用例,分别为。

    小老鼠
  • Nmap的使用

    精细扫描,可以查看更详细的信息,如包含服务版本,操作系统类型,甚至还有traceroute..

    周俊辉
  • 使用Pytest创建一个Python测试自动化项目

    Python是当前最流行的编程语言之一。它为Web后端,数据科学笔记本,sysadmin脚本等提供支持。它的语法简洁,易读且优雅–非常适合初学者和专家。您可以想...

    用户7466307
  • 全国等级保护测评机构最新推荐目录近日发布

    全国等级保护测评机构推荐目录近日在中国网络安全等级保护网正式发布,此次名录最大的变化就是更改了测评机构编号规则,之前都是国-001或者省份简称加编号模式,如京-...

    安恒信息
  • scrapy-redis分布式爬虫

    scrapy-redis是scrapy框架基于redis数据库的组件,用于scrapy项目的分布式开发和部署。

    py3study
  • 多维度架构

    什么事多维度架构,看完下面故事你就明白了 我的的惨痛就医经历: 咳嗽,去看呼吸内科,先拍x光,医生开药头孢+止咳水什么的,诊断结果是支气管炎。我看了很久持续了几...

    netkiller old
  • [PHP]MySQL的wait_timeout与pdo对象

    Warning: Error while sending QUERY packet 或者 MySQL server has gone away

    陶士涵
  • [四]基础数据概述之Byte详解

    noteless

扫码关注云+社区

领取腾讯云代金券