拍摄于山东郓城--水浒好汉城
一. 扫描与配置
- 安装完成后,打开appscan应用程序,此时有3个选项,一般默认选择第1个“扫描Web应用程序”
a.扫描web应用程序:自动或手动浏览web应用程序
b.扫描web服务:使用浏览器或其他第三方测试工具来浏览web服务
c.使用外部客户机扫描:使用移动设备、浏览器或其他客户机进行浏览,并用appscan作为代理
1.扫描Web应用程序
进入扫描配置向导页面,起始URL框内输入本次扫描系统的登陆页面,工具会自动检测URL有效性,在其他服务器和域这栏里,如果有其他服务器和域也可以填写,下面的红色框是配置其他链接设置(代理、http认证)。
若上一步勾选了其他连接设置选项,则配置向导增加一个代理、http认证配置页面。
登陆管理
进入“登陆管理”页面,此页面记录登陆序列,为后面的扫描记录登陆凭证。共有4种登陆方法。
- 记录
- 自动
- 提示
- 无
“记录”方式,Appscan安装后会有两个内置的浏览器,IE和Chromium,记录登陆方式时可以选择这2个内置的浏览器(推荐),也可选择外部浏览器或外部设备。外部设备后面会做介绍。
选择内置浏览器记录时,会自动跳转至系统登陆页面,输入用户名密码登陆系统,此时会自动记录输入的身份认证信息。
登陆成功后点击“我已登录到站点”,页面开始自动播放并验证登陆信息。
注意:这里的播放会进行二次登陆验证,此时cookie信息会刷新,但是HTTP请求头仍是第一次记录的请求头,工具会把第一次记录的请求头当作固定值,这时如果我们设置了CSRF的token验证的话,则记录不通过。
若验证通过则显示“已成功配置登陆”,后面扫描的时候就以此次记录的登陆序列为准。
自动登陆
自动登陆时需要直接输入用户名和密码,后续扫描时直接使用这里的用户名密码。
提示登陆
这种方法只需要记录第一次登陆信息
注意:只记录第一次登陆信息,后续扫描时不会使用此次记录的登陆信息。每当扫描过程中遇到需要登陆或认证的URL,系统会跳转至登陆页面,手动输入用户名密码登陆成功后才可继续扫描。
无登陆记录
此种方式appscan将不扫描需要登陆的页面(不推荐)
测试策略
Web Services:
该策略包含所有SOAP(用于访问网络服务的协议)相关测试
缺省值:
该策略包含所有测试,但侵入式和端口侦听器测试除外
完成(complete):
该策略包含所有Appscan测试,但端口侦听器测试除外
其余选项是针对某一模块进行测试,这里不做过多介绍
下一步即可完成配置进入自动探索和扫描界面。
2.使用外部客户机扫描
相比较第一种的区别是这里要进行代理的配置,共需要2个部分的配置。
- Appscan配置
2. 浏览器和本地配置
配置完成之后是正常的记录登陆序列操作
注意:此时记录登陆序列需要手动打开浏览器,进入需要测试的系统并登陆,登陆过程appscan会自动显示检测到的URL。
因为是配置了代理,appscan可能会检测到其他第三方URL,在记录完毕后需要删除多余的URL。
3.扫描Web服务
这种方式跟使用外部客户机扫描的方式比较类似,区别是这种方式可以使用第三方工具。
在外部客户机上浏览并记录登陆序列。
手动探索
如果对测试要求较高,可以使用手动探索的方式,逐一对要测试的URL记录、扫描。手动探索同样可以选择内置浏览器或外部设备。
内置浏览器方式
内置浏览器自动弹出登陆页面,登陆后手动逐一点击要扫描的URL页面。
外部设备方式
此种方式参考前面的配置方式
记录时可以点击右上角的“记录代理配置”按钮进行配置。如图中选在外部浏览器时本地安装的Goole Chrome浏览器无法识别(尝试过多种方法,均未解决问题)
4.扩展:Appscan内置工具使用
工具可以模拟HTTP请求,还可以手动添加请求头(相对来说,Burp suit更强大好用)
配置管理
在配置管理项中可以查看当前扫描策略,查看扫描项。
同时可对扫描过程中的扫描项进行配置。
展开扫描项详情可以查看粗略的扫描内容及问题信息,针对测试系统的实际情况配置扫描项,制定扫描策略。