App Scan 使用手册.docx

App Scan 使用手册2015年8月文档信息文件名称:App Scan 使用手册起草人:测试部起草日期:2015-08-23版本记录版本编号版本日期修改者说明1.02015-08-24测试部创建文档目录1概述41.1目的41.2适用范围42使用说明52.1工具介绍52.2安装介绍52.2.1系统需求52.2.2安装过程52.3使用步骤介绍62.3.1基本工作流程62.3.2扫描原则62.3.3测试执行72.4测试目的14概述目的提供App Scan的使用说明，保证用户对于工具的快速熟练使用.适用范围本文档是针对于不了解App Scan的测试人员而制定的。使用说明工具介绍AppScan是业界第一款并且是领先的web应用安全测试工具包，也是唯一一个在所有级别应用上提供全面纠正任务的工具。AppScan扫描web应用的基础架构，进行安全漏洞测试并提供可行的报告和建议。AppScan的扫描能力，配置向导和详细的报表系统都进行了整合，简化使用，增强用户效率，有利于安全防范和保护web应用基础架构。在商业安全扫描工具中，提供简体中文支持的，目前也只有AppScan一个。安装介绍系统需求安装过程“安装向导”会指导您快速简单地完成安装过程（一直下一步即可）；安装完成后，将共享盘下的dll文件覆盖到安装目录，完成破解。使用步骤介绍基本工作流程扫描原则“Appscan全面扫描”包含两个阶段：探索和测试。探索阶段在第一个阶段里，appscan会通过模仿成web用户单击链接并填写表单字段来探索站点（web应用程序或web server）这就是探索阶段。探索阶段可以遍历每个URL路径，并分析后创建测试点。测试阶段“测试”期间，appscan会发送它在“探索”阶段创建的成千上万个定制的测试请求，通过你定制好的测试策略分析每个测试的响应，最后根据规则识别应用程序中的安全问题，并排列这些安全问题的风险级别。测试执行如果你是第一次启动，屏幕中央将会出现一个“欢迎”对话框。在此对话中，您可以点击“入门”链接，查看IBM Rational AppScan 的“新手入门帮助文档”。也可以点击“创建新的扫描”来创建您的第一次Web安全扫描任务以下例子将选择“常规扫描”举例，点击右侧预定义模板中的“常规扫描”链接，将出现“扫描配置向导”。这里提供web应用程序和web server的扫描（如果需要web server的扫描必须先下载）我们显示使用IBM提供的测试Web 站点：。使用软件预定义的模板， 会自动显示在“New Scan”对话框中。点击URL链接后的按钮可以打开APPSCAN浏览器查看网站是否可以正常连接在弹出登录提示框时，用于登录这一测试站点的用户名及密码为：用户名（Username）：jsmith 密码（Password）：Demo1234 选择适当的测试策略完成扫描配置向导完成配置后启动扫描专家的话，此时会关闭向导，并打开“扫描专家”面板，以评估站点当前的配置。自动保存执行你的第一次Web安全扫描任务在执行Web安全扫描任务的过程中，您可以随时查看已经检测出的Web安全问题。扫描专家评估完成后，会显示所建议的配置更改核实表。这里要注意的是：如果存在用户输入的APPSCAN无法执行的更改，那么它们的复选框会显示成灰色且为未选中状态，如果要修改这些更改，单击更改的链接Web安全扫描任务完成“结果传家”通常在全面扫描之后自动运行，但是它也可以在全面或部分扫描结果上随时手动运行。如果测试时间有限的话，如果结果数量很大的话你可以决定不适用“结果专家”。“安全报告”会提供扫描期间发现的安全问题信息。1.在工具菜单上，单击报告，然后选择安全报告。2.选择模板：管理综合报告、详细报告、修复任务、开发者、QA、站点目录。注：可以通过你所需要的内容，在右侧树中选择你报告所有体现的内容3.从最低严重性列表中，选择要包含在报告中的问题最低严重性级别。4.点击保存报告，自动生成报告；报告提供PDA或WORD格式的保存测试目的安全性测试是有关验证应用程序的安全服务和识别潜在安全性缺陷的过程，安全性测试并不最终证明应用程序是安全的。而是只用于验证所设立对策的有效性，这些对策是基于威胁分析阶段所做的假设而选择的。