安全测试——AppScan
AppScan是IBM公司研发的一款Web与移动应用安全测试的工具,能提高Web应用安全性和移动应用安全性。通过在部署之前扫描Web和移动应用,检测Web和移动应用安全性, AppScan扫描完成后,能够根据扫描结果生成报告并给予修复建议。
【案例:ECShop安全测试实施】
(1) 启动AppScan,如图1所示,创建一个新的扫描,如果已经存在扫描方案,可直接打开。
图1 启动AppScan
(2) 选择“常规扫描”,一般测试时选择这个模板,当然也可以根据实际需要自定义扫描策略。
图2 选择扫描模板
(3) 使用“配置向导”,配置扫描策略。本次进行ECShop平台安全扫描,选择“Web应用程序扫描”。
图3 配置扫描策略
(4) 设置待扫描的Web系统URL,勾选“仅扫描此目录下或目录下的链接”,其他默认设置,如图4所示。
图4 设置扫描网站URL
(5) 如果仅仅是针对普通网站扫描,则无须登陆系统,但有很多操作需要登陆后才能执行,因此需设置登陆帐号,此处模拟注册用户登陆后访问每个链接以及执行相关购买操作。可使用“记录”、“提示”、“自动”等形式,笔者建议使用“记录”方式,该方式使用录制的方式自动记录帐号验证过程,类似于BadBoy软件。点击【记录】按钮,进行用户登陆过程录制。
图5 设置登陆帐号设置方式
(6) 启动录制过程,进入ECShop首页,如图6所示。
图6 录制用户登陆-进入首页
(7) 输入用户名及密码,与常规登陆操作相同。
图7 录制用户登陆-输入帐号信息
(8) 登陆成功后,退出系统。
图8 录制用户登陆过程一登陆成功
(9) AppScan生成登陆数据进程,此时不可取消。
图9 生成登陆数据进程
(10) 自动生成登陆数据,生成成功后的界面如图10所示,点击【下一步】按钮,选择测试策略。
图10 成功生成登陆数据
(11) 选择安全测试策略,通常选择缺省值。缺省值中以包括常规的HTTP响应、SQL注入、跨站点脚本攻击等安全测试策略。
图11 选择测试策略
(12) 设置启动扫描方式,AppScan默认提供了4种方式。“全面自动扫描”表示策略配置完成,将开始全面扫描,全面扫描包括两个部分,一是探索,二是测试。AppScan在测试之前,需先进行网站结构扫描,只有扫描获得Web架构后才能进行测试。测试则进行安全策略应用,开展实际测试活动。一般选择“启动全面自动扫描”,除非需自定义。本次测试选择“启动全面自动扫描”,点击【完成】按钮,完成扫描配置向导。
图12 设置扫描方式
(13) 启动扫描时,AppScan提示是否保存本次扫描配置,点击【是】,保存本次扫描配置。
图13保存扫描配置提示
(14) AppScan扫描进行中,扫描结果在最下面的状态栏显示。
图14 AppScan扫描界面
(15) 扫描完成导出测试报告,AppScan输出结果为PDF格式。结果报告中详细列出本次安全测试结果,测试工程师可对这些进行确认,汇报。
图15 ECShop平台安全问题列表
图16 引发安全问题的原因
相关文章
- 渗透测试|Web For Pentester靶场分享
- 对jwt的安全测试方式总结
- web安全测试_web测试的主要测试内容
- 移动安全渗透测试清单 2022
- 菜鸟浅谈——web安全测试[通俗易懂]
- 1.零基础如何学习Web安全渗透测试?[通俗易懂]
- 2021年软件测试工具大全(自动化、接口、性能、安全、测试管理)
- 云安全测试清单:人们需要知道的一切
- 性能测试|JMeter连接数据库
- 全球首个云渗透测试认证专家课程发布!腾讯安全领衔编制
- 传统企业,如何构建性能测试技术体系
- IAST交互式应用安全测试建设实录
- ChatGPT推荐最常用的自动化测试、性能、安全测试工具!
- 测试快速掌握MySQL代码测试技巧(mysql代码)
- 专为安全测试而生Kali Linux: 革命性安全测试工具(Kalilinux是)
- Linux FTP服务器测试实践(linux测试ftp)
- Linux硬盘性能测试:获取更快更安全的系统性能(linux硬盘性能测试)
- Linux网络性能测试: 提升更快速的表现(linux性能测试网络)
- 使用 Linux 安全工具进行渗透测试
- 微软正在为Microsoft Edge浏览器测试超级欺骗安全模式提高整体安全性
- 探索Smali Linux:了解这个开源安全测试系统的特点与应用(Smalilinux)
- Linux DVWA安装指南:一步一步实现安全测试理想(linuxdvwa安装)
- Linux系统安全防护测试实例(linux安全测试)
- Oracle 11g测试:全面检测你的数据库性能(oracle11g测试)
- 如何实现对Redis集群的正确测试(怎么测试redis 集群)
- 突破性能瓶颈结合Redis进行性能测试(结合redis性能测试)
- mysql下mysql-udf-http效率测试小记