Scan按钮,开始扫描探测,继续扫描探测.
Manual Explore(手动扫描)按钮可以用于如果只想扫描特定的URL或者网站的一部分,可以记录输入链接,然后点击"Continue with Full Scan(继续全面扫描)",Appscan就只会扫描手动扫描设置下的链接.
Scan Configuration(扫描配置) 按钮会打开配置向导.
通过点击report按钮,可以生成一份详细的扫描分析报告.
Scan Log(扫描日志)记录AppScan中进行的扫描的每一个动作。因此,使用此功能,您可以跟踪所有的活动。例如,扫描运行时,你可以查看此时AppScan中正在寻找什么。
Analyze JavaScript(分析Javascript)按钮执行的JavaScript分析,发现广泛的客户端的问题,如基于DOM的跨站脚本.
可以在View Application Data下查看其他各种结果。比如访问的网址,断开的链接,JavaScript,Cookies等.
以上是对Appscan中的工具功能进行简单的了解,继续进行结果分析,可能需要先解决高的严重性的漏洞或者安全问题.首先选择一个脆弱的网址或参数的分析,如下图所示:
在 分析( analysis)选项卡下会自动获得相关的强调细节,首先需要判断是否是一个脆弱性漏洞,或者是一个误报.这个判断完全取决与你的技术水平,如果确定是误报,可以右键进行删除.如果是正确的判断,可以继续分析下一个扫描结果,全部分析完成可以生成一个分析报告.
下面的一些提示将有对分析有所帮助:
Tips for Analysing(分析注意事项)
1.分析扫描结果的同时,如果发现不是你的应用程序有关的问题,可以点击右上角的Vulnerability-->State-->Noise.这个扫描将会完全从列表中删除此扫描结果.如果想显示,可以在View-->Show issues Marker as Noise(显示标记为杂讯的问题),将会显示带有删除线的灰色文本中的问题.
2.如果开发团队针对一个特定的漏洞进行了修复,不必要再次扫描整个应用程序,来进行重新测试该问题.只需要点击URL,选择"Retest the Issues Found",如果有发现新的问题,会自动添加到扫描结果中.
3.CVSS设置可以调整特定漏洞的严重性,想改变漏洞严重性,右键单击一个漏洞,Severity-->CVSS settings.
4.工具菜单中的"Manual Test(手动测试)"选项可以帮助进行手动发送攻击请求,而且可以保存当前扫描下的结果,编辑请求,发送后,点击"Save"保存当前的扫描测试.
5.Appscan扫描过程中会有很多测试,扫描结果中只显示发现的漏洞的测试,如果需要显示所有的测试(包括非脆弱的结果),需要选择Scan Configuration(扫描配置)-->Test 下的"Save Non-vulnerable Test Variant Information"选项.完成扫描之后可以在View-->Non-vulnerable Variants下查看到.
6.如果想扫描一个特定的URL或一个应用程序的特定部分,可以先针对整个应用程序进行探测而不进行测试.选择扫描配置向导下的"Start with Automatic Explore Only"选项.然后输入要扫描的网址,进行扫描.
7.当需要扫描一个正在使用的网站,有可能会导致服务瘫痪,需要确保开发团队有意识到这个后果.
8.Test Malware(恶意软件测试):这个会分析网站中的恶意的链接.可以选择Scan-->Test For Malware,如果有任何发现,也会被添加扫扫描结果中.
Generating Reports(生成报告)
在分析结束之后可以针对所有确定的结果进行生成报告.其中包括为了解决改问题需要遵循的补救措施的报告.报告是可以根据需求进行定制的,例如可以为不同的开发团队设置不同的模板.比如针对公司标志,封面页,报告标题等进行不同的定制。
在上图中,可以看到所有可选的参数.
Tools(工具)
本节介绍Tools中的Power Tools,该工具是为了更好的对结果进行分析.
Authentication Tester(认证测试)
帮助执行针对应用程序用户名和密码进行暴力猜解,结果取决于密码策略字典强大与否.
Connection Test(连接测试)
可以用来ping一个网站,仅此而已.
Encode/Decode(编码/解码)
分析扫描结果的同时,可能会遇到许多的地方需要进行编码和解码.
HTTP Request Editor(Http请求编辑器)
可以修改请求的值来测试应用程序针对请求返回的不同响应.
这篇文章是Rational Appscan使用中的一部分内容,重要的是牢记,工具值提供结(在某些情况下甚至都可能不提供你所有的结果),从安全分析师的观点,提升个人技术技能才是最重要的,从而可以判断发现的是否是误报还是真正存在漏洞.