這里主要分享如何使用AppScan對一大項目的部分功能進行安全掃描。
------------------------------------------------------------------------
其實,對於安全方面的測試知道的甚少。因為那公司每個月要求對產品進行安全掃描。掌握了一人點使用技巧,所以拿來與大家分享。
因為產品比較大,功能模塊也非常之多,我們不可能對整個產品進行掃描。再一個每個測試員負責測試的模塊不同。我們只需要對自己負責測試的模塊掃描即可。
掃描工具自然是IBM AppScan ,功能強大,使用簡單。略懂安全測試的都使用或聽說過這個工具。這里就不過多介紹了。
抽取被掃描功能的鏈接
首先要抽取掃描的鏈接。fiddler工具來抽取。打開系統,找到你需要做掃描的功能模塊,開啟fiddler攔截功能,然后對你所要測試的功能做各種操作,fiddler就會記錄的所有訪問的鏈接,因為涉及到隱私,所以下圖會比較模糊。
其實,請求中有非常多的鏈接,但許多是一樣,我們只要把不一樣的全找出來就可以了。這里你需要知道每個連接的情況。也有一些外部鏈接是不需要抽取的。
aaa.bbb.cn g2.aaa.bbb.cn g1.aaa.bbb.cn webapp.aaa.bbb.cn uec.aaa.bbb.cn addrapi.aaa.bbb.cn smsrebuild1.aaa.bbb.cn disk2.aaa.bbb.cn mw.aaa.bbb.cn scriptlog.aaa.bbb.cn images.139cm.com appmail.aaa.bbb.cn gfile5-disk.aaa.bbb.cn gfile8-disk.aaa.bbb.cn gfile7-disk.aaa.bbb.cn
把所有鏈接抽取出來之后就沒幾個了。去掉重復的就沒多少了。
完成配置向導
下面打開appscan創建掃描。(關於appascan的下載安裝與破解、介紹,我在另一篇博文已講)
選擇常規掃描,進入配置向導。點擊下一步,進入配置
上面這一步是重點,起始URL填寫你要掃描的網址。其它服務器和域:這里把抽取的所有鏈接都添加進去。包括后網站的首頁鏈接。點擊下一步。
這里提供三種方式來記錄帳號,不多介紹。第一種和第三種最常用。
然后點擊幾個下一步后出現后面的選項,選擇第三個或第四項完成掃描的配置。
錄制掃描腳本
完成配置后,下面就要開始錄制腳本了呢。
點擊工具欄上的探索按鈕,appscan會打開自帶瀏覽器,輸入系統用戶名密碼登錄系統,對你要掃描的模塊功能進行操作。
上圖為我打開的appscan自帶瀏覽器(因為我輸入的網址有誤,所以無法訪問)。操作完成之后,點擊暫停按鈕,關閉瀏覽器窗口即可。
關閉瀏覽器后,上面的窗口中會記錄所有你訪問的連接,點擊確定。所有的信息就會記錄下來了,下面要做的點擊點擊工具欄上的掃描按鈕開始掃描。我們一般晚上下班進行,第二天早上來看掃描結果就可以了。
------------------------------------
本來到這里就可以結束了,我再多說個設置。呵呵!在手動探索的時候,因為打開的瀏覽器是appscan自帶的,可能會存在兼容性問題,有些頁面無法正常打開。那么是否可以用我們電腦上的瀏覽器(IE 、火狐、谷歌)來進行錄制呢了。當然是可以的。
菜單欄--工具---選項----高級
這個一定要大圖,我們只需要修改openExternalBrowser 選項“值”的參數就可以了(1=IE、2=firefox、3=chrome)。
-----------------
安全測試挺有前途的,國內起步很晚,這兩年才逐漸受到重視。公司也越來越重視安全。