Appscan是web應用程序滲透測試舞台上使用最廣泛的工具之一.它是一個桌面應用程序,它有助於專業安全人員進行Web應用程序自動化脆弱性評估。本文側重於配置和使用Appcan
Appscan的主要特點:
Appscan 8.5標准版有很多新的功能,其中大部分將在我下面的概要中涵蓋:
Flash支持: 8.0 Appscan相對早期的版本增加了flash支持功能,它可以探索和測試基於Adobe的Flex框架的應用程序,也支持AMF協議。
Glass box testing::Glass box testing是Appscan中引入的一個新的功能.這個過程中,安裝一個代理服務器,這有助於發現隱藏的URL和其它的問題。
Web服務掃描:Web服務掃描是Appscan中具有有效自動化支持的一個掃描功能。
Java腳本安全分析:Appscan中介紹了JavaScript安全性分析,分析抓取html頁面漏洞,並允許用戶專注於不同的客戶端問題和DOM(文檔對象模型)為基礎的XSS問題。
報告:根據你的要求,可以生成所需格式的報告。
修復支持:對於確定的漏洞,程序提供了相關的漏洞描述和修復方案.
可定制的掃描策略:Appscan配備一套自定義的掃描策略,你可以定制適合你需要的掃描策略。
工具支持:它有像認證測試,令牌分析器和HTTP請求編輯器等,方便手動測試漏洞.
Ajax和Dojo框架的支持。
現在,讓我們繼續學習更多有關安裝和使用Rati??onal AppScan掃描Web應用程序的過程。
Appscan的安裝:
要運行Appscan的系統至少需要2GB的RAM,同時確保安裝了.net framwork和Adobe flash來執行掃描過程中的Flash內容。在進一步之前,需要注意的是,這種自動掃描器會發送數據到服務器,有可能在掃描過程中讓服務器超過負荷,所以它可能會刪除服務器上的數據,添加新記錄甚至讓服務器崩潰.因此掃描之前最好備份所有的數據.
安裝Appscan之前,關閉所有打開的應用程序。點擊安裝文件,會出現安裝向導,如果你還沒有安裝.Net framwork,Appscan安裝過程會自動安裝,並需要重新啟動。按照向導的指示,可以很容易的完成安裝.如果你使用的是默認許可,你將只允許掃描appscan中的測試網站。要掃描自己的網站,需要付費購買許可版本.
探索和測試階段:
在我們開始掃描之前,讓我們對Appscan的工作做一個了解.任何自動化掃描器都有兩個目標:找出所有可用的鏈接和攻擊尋找應用程序漏洞。
探索(Explore):
在探索階段,Appscan試圖遍歷網站中所有可用的鏈接,並建立一個層次結構。它發出請求,並根據響應來判斷哪里是一個漏洞的影響范圍。例如,看到一個登陸頁面,它會確定通過繞過注入來通過驗證.在探索階段不執行任何的攻擊,只是確定測試方向.這個階段通過發送的多個請求確定網站的結構和即將測試的漏洞范圍。
測試(Test):
在測試階段,Appscan通過攻擊來測試應用中的漏洞.通過釋放出的實際攻擊的有效載荷,來確定在探索階段建立的安全漏洞的情況.並根據風險的嚴重程度排名。
在測試階段可能會發現網站的新鏈接,因此Appscan在探索和測試階段完成之后會開始另一輪的掃描,並繼續重復以上的過程,直到沒有新的鏈接可以測試。掃描的次數也可以在用戶的設置中配置.
開始Appscan掃描:
1、點擊創建新的掃描
2、選擇一個適合你要求的掃描模板。模板包括已經定義好的掃描配置.選擇一個模板后會出現配置向導。它會問你選擇的掃描類型。選擇常規掃描,然后可以將掃描保存為一個模板
或者不選擇保存
,3、配置向導,選擇AppScan,下一步(掃描配置向導是該工具的核心部分,使用設置向導,會讓Appscan知道的需求,其中有很多可供的需求選擇.)
4、Starting URL(起始網址):此功能指定要掃描的起始網址.在大多數情況下,這將是該網站的登陸頁面.選擇http://demo.testfire.net這個演示站來測試Web應用程序漏洞.如果你想限制只掃描到這個目錄下的鏈接,選中該復選框.
Case Sensitive Path(大小寫的選擇):如果你的服務器URL有大小寫的區別,選擇此項。對大小寫的區別取決於服務器的操作系統,Linux/Unix中對大小寫是敏感的,而Windows是沒有的.
Additional Servers and Domains(其他服務器和域):在掃描過程中Appscan嘗試抓取本網站上的所有鏈接。當它發現了一個鏈接指向不同的域,它是不會進行掃描攻擊的,除非在”Additional Servers and Domains”中有指定.因此,通過指定該標簽下的鏈接,來告訴Appscan繼續掃描,即使它和URL是不同的域下.點擊下一步繼續。
5、登陸管理
Recorded(記錄):選擇此項后,會出現一個新的瀏覽器,並嘗試鏈接到指定的網站作為本掃描的起始URL.你需要輸入賬號和密碼登陸到應用程序.這樣設置之后你可以關閉瀏覽器,但是不要點擊注銷按鈕.有時候你會發現打開的瀏覽器不是IE或者Mozilla,而是Appscan瀏覽器.你可以改變通過設置來改變這個.Tools–>Options –>Advanced,設置OpenIEBrower的值0–Appscan瀏覽器,1–IE,2–Firefox,3–Chrome.如果該網站的行為在不同的瀏覽器下有所不同,這個設置將是非常有用的.
Prompt(提示):每次注銷之后,Appscan會提示你登陸到應用程序中.如果你打算整個掃描你的系統,你可以選擇這個選項.
Automatic(自動):在這里你可以直接指定用戶名和密碼,當你需要登陸到應用程序的時候.
點擊下一步繼續.
6、測試策略
根據你的測試策略,你需要選擇最適合你需求的策略,現有的策略都是默認的,僅應用和基礎設置,侵入性的,完整的,關鍵的少數等等.其中大多是使用現有的策略.如果你不希望在登陸時發送測試和注銷頁面,你可以選擇該選項。
7、完成 Complete
這是開始掃描的最后一步.IBM Rational Appscan允許你選擇你想要的掃描方式,即完成掃描,探索掃描等.
Start a full automatic sacn(啟動全面自動掃描):隨着前面創建的配置,Appscan將開始探索和測試階段.
Start with automatic explore only(僅使用自動“探索”啟動):Appscan只會探索應用程序,但不發送攻擊.
Start with manual explore(使用“手動探索”啟動):瀏覽器將被打開,你可以手動瀏覽器應用程序.
當你想做出更多的更改掃描配置,你可以選擇最后一個選項”i will start scan later”(我將稍后啟動掃描).
PS:注意窗口左下角一般任務中的完全掃描配置
在我們開始之前,我們有很重要的事情要做,它是Appscan的心臟和靈魂-“Full scan Configuration(完全掃描配置)”窗口.讓我們明白為什么它在掃描任意應用程序的時候那么重要.
8、掃描配置
URL and Servers(URL和服務器): 掃描的URL和額外的服務器鏈接的處理.
Login Management(登陸管理):除了登陸方法,如果你想在Appscan同時登陸,通過這個可以指定.這將減少總的掃描時間.你還可以指定正則表達式檢測注銷頁.
Environment Definition(環境的定義):在此設置下,你可以指定操作系統,Web服務器,數據庫服務器,以及其它第三方組件,它可以幫助你提高掃描的精度和性能。
Exclude Paths and Files(排除路徑和文件):設置掃描過程中排除的特定路徑,甚至是特定的文件,比如.mps或.7z等.你可以在此選項下通過正則表達式來設置.
Explore Options(探索選項):冗余路徑選項有助於設置Appscan針對相同路徑的掃描次數限制。因為有時Appscan可能會進入一個無限循環一次又一次掃描相同的URL.
Parameters and Cookies(參數和Cookies):包括有關參數的詳細信息和應用程序中存在的COOKIES.
Automatic Form Fill(自動表單填充):在掃描過程中,Appscan遇到需要輸入的形式.例如,一個注冊頁面,可能需要輸入值,比如用戶名和地址等。通過選擇此項,可以讓Appscan自動填寫這些信息.
Error pages(錯誤頁面):你在此配置下輸入的錯誤頁面將幫助Appscan判斷錯誤頁面.
Multi-Step Operations(多步驟操作):有部分應用程序,只有當你請求的數據按一定的順序才可以達成(比如電子商務網站).通過這個設置你可以點擊”start recording”來記錄其序列.
Glass box Scanning:Glass box Scanning是Appscan引入的一個新的功能,代理將被安裝在服務器上,這有助於掃描找到隱藏的URl和其它的問題.
Communication and Proxy(通訊及代理):你可以指定掃描器是否可以使用IE瀏覽器的代理設置(或不能使用任何代理)。
HTTP Authentication(HTTP身份驗證):使用客戶端證書,上傳證書文件和密鑰文件.
Test Policy(測試策略):所有的測試名稱都列在這個部分,如果你不想Appscan掃描特定的漏洞,你可以取消其中的任何一個.
Test Options(測試選項):這個部分你可以選擇適合的測試選項.Appscan發送大量的測試,需要花費大量的時間.但是選擇適性測驗,Appscan會嘗試發送,以確定是適當的測試.它可以檢測到服務器是IIS,然后只發送其中針對IIS的脆弱性檢測測試,而不會檢查其它服務器有關的問題.
Privilege Escalation(特權升級):你可以上傳不同權限的用戶或未經授權的用戶掃描的掃描文件。
Scan Expert(掃描專家):掃描專家提出了建議,以更好的掃描應用程序。
配置好之后,點擊確定,將回到最初的掃描向導窗口.
然后在第七步的圖中選擇”start a full automatic sacn”,單擊”finish”。完成配置過程,
保存掃描腳本后會自動進行掃描
掃描完成之后可以根據專家建議中來篩選是否對你有用的信息