拍攝於山東鄆城--水滸好漢城
一. 掃描與配置
- 安裝完成后,打開appscan應用程序,此時有3個選項,一般默認選擇第1個“掃描Web應用程序”
a.掃描web應用程序:自動或手動瀏覽web應用程序
b.掃描web服務:使用瀏覽器或其他第三方測試工具來瀏覽web服務
c.使用外部客戶機掃描:使用移動設備、瀏覽器或其他客戶機進行瀏覽,並用appscan作為代理
1.掃描Web應用程序
進入掃描配置向導頁面,起始URL框內輸入本次掃描系統的登陸頁面,工具會自動檢測URL有效性,在其他服務器和域這欄里,如果有其他服務器和域也可以填寫,下面的紅色框是配置其他鏈接設置(代理、http認證)。
若上一步勾選了其他連接設置選項,則配置向導增加一個代理、http認證配置頁面。
登陸管理
進入“登陸管理”頁面,此頁面記錄登陸序列,為后面的掃描記錄登陸憑證。共有4種登陸方法。
- 記錄
- 自動
- 提示
- 無
“記錄”方式,Appscan安裝后會有兩個內置的瀏覽器,IE和Chromium,記錄登陸方式時可以選擇這2個內置的瀏覽器(推薦),也可選擇外部瀏覽器或外部設備。外部設備后面會做介紹。
選擇內置瀏覽器記錄時,會自動跳轉至系統登陸頁面,輸入用戶名密碼登陸系統,此時會自動記錄輸入的身份認證信息。
登陸成功后點擊“我已登錄到站點”,頁面開始自動播放並驗證登陸信息。
注意:這里的播放會進行二次登陸驗證,此時cookie信息會刷新,但是HTTP請求頭仍是第一次記錄的請求頭,工具會把第一次記錄的請求頭當作固定值,這時如果我們設置了CSRF的token驗證的話,則記錄不通過。
若驗證通過則顯示“已成功配置登陸”,后面掃描的時候就以此次記錄的登陸序列為准。
自動登陸
自動登陸時需要直接輸入用戶名和密碼,后續掃描時直接使用這里的用戶名密碼。
提示登陸
這種方法只需要記錄第一次登陸信息
注意:只記錄第一次登陸信息,后續掃描時不會使用此次記錄的登陸信息。每當掃描過程中遇到需要登陸或認證的URL,系統會跳轉至登陸頁面,手動輸入用戶名密碼登陸成功后才可繼續掃描。
無登陸記錄
此種方式appscan將不掃描需要登陸的頁面(不推薦)
測試策略
Web Services:
該策略包含所有SOAP(用於訪問網絡服務的協議)相關測試
缺省值:
該策略包含所有測試,但侵入式和端口偵聽器測試除外
完成(complete):
該策略包含所有Appscan測試,但端口偵聽器測試除外
其余選項是針對某一模塊進行測試,這里不做過多介紹
下一步即可完成配置進入自動探索和掃描界面。
2.使用外部客戶機掃描
相比較第一種的區別是這里要進行代理的配置,共需要2個部分的配置。
- Appscan配置
2. 瀏覽器和本地配置
配置完成之后是正常的記錄登陸序列操作
注意:此時記錄登陸序列需要手動打開瀏覽器,進入需要測試的系統並登陸,登陸過程appscan會自動顯示檢測到的URL。
因為是配置了代理,appscan可能會檢測到其他第三方URL,在記錄完畢后需要刪除多余的URL。
3.掃描Web服務
這種方式跟使用外部客戶機掃描的方式比較類似,區別是這種方式可以使用第三方工具。
在外部客戶機上瀏覽並記錄登陸序列。
手動探索
如果對測試要求較高,可以使用手動探索的方式,逐一對要測試的URL記錄、掃描。手動探索同樣可以選擇內置瀏覽器或外部設備。
內置瀏覽器方式
內置瀏覽器自動彈出登陸頁面,登陸后手動逐一點擊要掃描的URL頁面。
外部設備方式
此種方式參考前面的配置方式
記錄時可以點擊右上角的“記錄代理配置”按鈕進行配置。如圖中選在外部瀏覽器時本地安裝的Goole Chrome瀏覽器無法識別(嘗試過多種方法,均未解決問題)
4.擴展:Appscan內置工具使用
工具可以模擬HTTP請求,還可以手動添加請求頭(相對來說,Burp suit更強大好用)
配置管理
在配置管理項中可以查看當前掃描策略,查看掃描項。
同時可對掃描過程中的掃描項進行配置。
展開掃描項詳情可以查看粗略的掃描內容及問題信息,針對測試系統的實際情況配置掃描項,制定掃描策略。
