一、常規配置Appscan (安全自動化測試工具)
- Appscan是web應用程序滲透測試舞台上使用最廣泛的工具之一.它是一個桌面應用程序,它有助於專業安全人員進行Web應用程序自動化脆弱性評估。本文側重於配置和使用Appcan。
- 可定制的掃描策略:Appscan配備一套自定義的掃描策略,你可以定制適合你需要的掃描策略。
- 報告:根據你的要求,可以生成所需格式的報告。
- Appscan分為三部分:探索、連接和測試。
探索和測試階段:
在我們開始掃描之前,讓我們對Appscan的工作做一個了解.任何自動化掃描器都有兩個目標:找出所有可用的鏈接和攻擊尋找應用程序漏洞。
探索(Explore):
在探索階段,Appscan試圖遍歷網站中所有可用的鏈接,並建立一個層次結構。它發出請求,並根據響應來判斷哪里是一個漏洞的影響范圍。例如,看到一個登陸頁面,它會確定通過繞過注入來通過驗證.在探索階段不執行任何的攻擊,只是確定測試方向.這個階段通過發送的多個請求確定網站的結構和即將測試的漏洞范圍。
測試(Test):
在測試階段,Appscan通過攻擊來測試應用中的漏洞.通過釋放出的實際攻擊的有效載荷,來確定在探索階段建立的安全漏洞的情況.並根據風險的嚴重程度排名。
在測試階段可能回發現網站的新鏈接,因此Appscan在探索和測試階段完成之后會開始另一輪的掃描,並繼續重復以上的過程,直到沒有新的鏈接可以測試。掃描的次數也可以在用戶的設置中配置.
========================================================================================================================================================
開始掃描,啟動Appscan,你會看到圖一中所示的歡迎屏幕.
圖一
點擊"Create New Scan" 開始掃描一個新的Web應用程序
圖二
選擇一個適合你要求的掃描模板。模板包括已經定義好的掃描配置.選擇一個模板后會出現配置向導。點擊“常規掃描”。
圖三
它會問你選擇的掃描類型,選擇"Web Application Scan"-web應用程序掃描,然后點擊Next
掃描配置向導是該工具的核心部分,使用設置向導,會讓Appscan知道你的需求;其中有很多可供的需求選擇.
URL and Servers(URL和服務器-下圖)
Starting URL(起始網址):此功能指定要掃描的起始網址.在大多數情況下,這將是該網站的登陸頁面.選擇http://demo.testfire.net這個演示站來測試Web應用程序漏洞.如果你想限制只掃描到這個目錄下的鏈接,選中該復選框.
Case Sensitive Path(大小寫的選擇):如果你的服務器URL有大小寫的區別,選擇此項。對大小寫的區別取決於服務器的操作系統-看你用的服務器系統來決定選擇,Linux/Unix中對大小寫是敏感的所以選擇,而Windows是沒有的.
圖四:
(另外的服務器和域):在掃描過程中Appscan嘗試抓取本網站上的所有鏈接。當它發現了一個鏈接指向不同的域,它是不會進行掃描攻擊的,除非在"另外的服務器和域"中指定.通過指定該標簽下的鏈接,來告訴Appscan繼續掃描,即使它和URL是不同的域下.
點擊下一步繼續。
Login Management(登陸管理方法)
在掃描的過程中,可能會不小心碰到退出按鈕導致Appscan注銷.因此,要登陸到應用程序中,我們需要根據本條中的設置。
①在測試的web沒有驗證碼情況下,可以使用(1和3種登陸方法)
②在web有驗證碼情況下,可以使用第二種登陸方法。
Recorded(記錄):選擇此項后,會出現一個新的瀏覽器,並嘗試鏈接到指定的網站作為本掃描的起始URL.你需要輸入賬號和密碼登陸到應用程序.這樣設置之后你可以關閉瀏覽器,但是不要點擊注銷按鈕。有時候你會發現打開的瀏覽器不是IE或者Mozilla,而是Appscan瀏覽器.你可以改變通過設置來改變這個.Tools-->Options -->Advanced,設置OpenIEBrower的值0--Appscan瀏覽器,1--IE,2--Firefox,3--Chrome.如果該網站的行為在不同的瀏覽器下有所不同,這個設置將是非常有用的.
Prompt(提示):每次注銷之后,Appscan會提示你登陸到應用程序中.如果你打算整個掃描你的系統,你可以選擇這個選項.
Automatic(自動):在這里你可以直接指定用戶名和密碼,當你需要登陸到應用程序的時候.
圖五
和圖六(是以記錄的登陸方式,請求成功登陸提示)
點擊下一步繼續.
Test celie-測試策略
根據你的測試策略,你需要選擇最適合你需求的策略,現有的策略都是默認的,該策略包含所有測試,但侵入式和端口偵聽器測試除外。.如果你不希望在登陸時發送測試和注銷頁面,你可以選擇該選項。
- 將測試發送到登錄和注銷頁面:缺省(默認)情況下,AppScan 將測試登錄和注銷頁面以及應用程序的其余部分。您應該保持該默認配置;如果不確定您的應用程序會如何響應這些測試,那么請保持選定該選項。
建議將此復選框保留為選中狀態,因為測試登錄頁面時會話標識可能會導致測試不成功。僅當您確定需要有效會話令牌來測試登錄頁面時,才應清除該復選框。
圖七
點擊下一步繼續.
Complete
這是開始掃描的最后一步.IBM Rational Appscan允許你選擇你想要的掃描方式,即完成掃描設置,探索掃描等.
Start a full automatic sacn(開始一個完整的自動掃描):隨着前面創建的配置,Appscan將開始探索和測試階段.
- 動應用程序的全面掃描(“探索”后將立即進行“測試”)。
Start with automatic explore only(開始探索掃描):Appscan只會探索應用程序,但不發送攻擊.
- 探索應用程序,但不繼續“測試”階段。(可以稍后運行“測試”階段)。
Start with manual explore(開始手動探索):瀏覽器將被打開,你可以手動瀏覽器應用程序.
- 瀏覽器將打開,並且您可以通過單擊鏈接並填寫字段來手動探索站點。AppScan® 將記錄結果,以便在“測試”階段使用。
當你想做出更多的更改掃描配置,你可以選擇最后一個選項"i will start scan later".我將稍后啟動掃描
- 關閉向導,不啟動掃描。下次啟動掃描時,會使用該模板。
在我們開始之前,我們有很重要的事情要做,它是Appscan的心臟和靈魂-"Full scan Configuration(全局掃描配置)"窗口.讓我們明白為什么它在掃描任意應用程序的時候那么重要.
AppScan滲透測試工具
圖八:
點擊OK,將回到最初的掃描向導窗口.選擇"start a full automatic sacn",單擊"finish"。完成配置過程。
=======================================================================================》
二、就是可以手動配置全局
Full Scan Configuration
在下圖中,有四個主要的部分--探索,鏈接,測試和一般,讓我們看看具體的細節:
Explore
URL and Servers(URL和服務器): 掃描的URL和額外的服務器鏈接的處理.
Login Management(登陸管理):除了登陸方法,如果你想在Appscan同時登陸,通過這個可以指定.這將減少總的掃描時間.你還可以指定正則表達式檢測注銷頁.
圖八:
Environment Definition(環境的定義):在此設置下,你可以指定操作系統,Web服務器,數據庫服務器,以及其它第三方組件,它可以幫助你提高掃描的精度和性能。
圖九:
Exclude Paths and Files(排除路徑和文件):設置掃描過程中排除的特定路徑,甚至是特定的文件,比如.mps或.7z等.你可以在此選項下通過正則表達式來設置.
Explore Options(瀏覽選項):冗余路徑選項有助於設置Appscan針對相同路徑的掃描次數限制。因為有時Appscan可能會進入一個無限循環一次又一次掃描相同的URL.
Parameters and Cookies(參數和Cookies):包括有關參數的詳細信息和應用程序中存在的COOKIES.
Automatic Form Fill(自動表格填寫):在掃描過程中,Appscan遇到需要輸入的形式.例如,一個注冊頁面,可能需要輸入值,比如用戶名和地址等。通過選擇此項,可以讓Appscan自動填寫這些信息.
Error pages(錯誤頁面):你在此配置下輸入的錯誤頁面將幫助Appscan判斷錯誤頁面.
Multi-Step Operations(多步驟操作):有部分應用程序,只有當你請求的數據按一定的順序才可以達成(比如電子商務網站).通過這個設置你可以點擊"start recording"來記錄其序列.
Glass box Scanning:Glass box Scanning是Appscan引入的一個新的功能,代理將被安裝在服務器上,這有助於掃描找到隱藏的URl和其它的問題.
Communication and Proxy(通訊及代理):你可以指定掃描器是否可以使用IE瀏覽器的代理設置(或不能使用任何代理)。
HTTP Authentication(HTTP身份驗證):使用客戶端證書,上傳證書文件和密鑰文件.
Test Policy(測試策略):所有的測試名稱都列在這個部分,如果你不想Appscan掃描特定的漏洞,你可以取消其中的任何一個.
圖十:
Test Options(測試選項):這個部分你可以選擇適合的測試選項.Appscan發送大量的測試,需要花費大量的時間.但是選擇適性測驗,Appscan會嘗試發送,以確定是適當的測試.它可以檢測到服務器是IIS,然后只發送其中針對IIS的脆弱性檢測測試,而不會檢查其它服務器有關的問題.
Privilege Escalation(特權升級):你可以上傳不同權限的用戶或未經授權的用戶掃描的掃描文件。
Scan Expert(掃描專家):掃描專家提出了建議,以更好的掃描應用程序。
======================================================================》
導出報告
