安全测试——AppScan

AppScan是IBM公司研发的一款Web与移动应用安全测试的工具，能提高Web应用安全性和移动应用安全性。通过在部署之前扫描Web和移动应用，检测Web和移动应用安全性， AppScan扫描完成后，能够根据扫描结果生成报告并给予修复建议。

 

【案例：ECShop安全测试实施】

（1）   启动AppScan，如图1所示，创建一个新的扫描，如果已经存在扫描方案，可直接打开。

图1 启动AppScan

 

（2）   选择“常规扫描”，一般测试时选择这个模板，当然也可以根据实际需要自定义扫描策略。

图2 选择扫描模板

 

（3）   使用“配置向导”，配置扫描策略。本次进行ECShop平台安全扫描，选择“Web应用程序扫描”。

图3 配置扫描策略

 

（4）   设置待扫描的Web系统URL，勾选“仅扫描此目录下或目录下的链接”，其他默认设置，如图4所示。

图4 设置扫描网站URL

 

（5）   如果仅仅是针对普通网站扫描，则无须登陆系统，但有很多操作需要登陆后才能执行，因此需设置登陆帐号，此处模拟注册用户登陆后访问每个链接以及执行相关购买操作。可使用“记录”、“提示”、“自动”等形式，笔者建议使用“记录”方式，该方式使用录制的方式自动记录帐号验证过程，类似于BadBoy软件。点击【记录】按钮，进行用户登陆过程录制。

图5 设置登陆帐号设置方式

 

（6）   启动录制过程，进入ECShop首页，如图6所示。

图6 录制用户登陆-进入首页

 

（7）   输入用户名及密码，与常规登陆操作相同。

图7 录制用户登陆-输入帐号信息

 

（8）   登陆成功后，退出系统。

图8 录制用户登陆过程一登陆成功

 

（9）   AppScan生成登陆数据进程，此时不可取消。

图9 生成登陆数据进程

 

（10） 自动生成登陆数据，生成成功后的界面如图10所示，点击【下一步】按钮，选择测试策略。

图10 成功生成登陆数据

 

（11） 选择安全测试策略，通常选择缺省值。缺省值中以包括常规的HTTP响应、SQL注入、跨站点脚本攻击等安全测试策略。

图11 选择测试策略

 

（12） 设置启动扫描方式，AppScan默认提供了4种方式。“全面自动扫描”表示策略配置完成，将开始全面扫描，全面扫描包括两个部分，一是探索，二是测试。AppScan在测试之前，需先进行网站结构扫描，只有扫描获得Web架构后才能进行测试。测试则进行安全策略应用，开展实际测试活动。一般选择“启动全面自动扫描”，除非需自定义。本次测试选择“启动全面自动扫描”，点击【完成】按钮，完成扫描配置向导。

 

图12 设置扫描方式

 

（13） 启动扫描时，AppScan提示是否保存本次扫描配置，点击【是】，保存本次扫描配置。

图13保存扫描配置提示

 

（14） AppScan扫描进行中，扫描结果在最下面的状态栏显示。

图14 AppScan扫描界面

 

（15） 扫描完成导出测试报告，AppScan输出结果为PDF格式。结果报告中详细列出本次安全测试结果，测试工程师可对这些进行确认，汇报。

图15 ECShop平台安全问题列表

 

图16 引发安全问题的原因