很多公司對軟件會有安全的要求,一般測試公司會使用安全漏洞掃描工具對軟件進行漏掃,然后給出安全報告,然后軟件開發人員會根據提供的安全報告進行漏洞的處理。我們接觸到的測評公司,使用的是漏洞掃描工具AppScan,這里介紹一下AppScan的安裝使用,以及安全報告的生成。
1漏掃工具AppScan的下載和安裝
1.1 AppScan的下載
利用百度搜索Appscan,可以找到對應的資源,下載后,一般是壓縮文件,大概500M左右,現在的版本是10.0,舊一些的版本9.0也可以,文件大小差不多。文件解壓后,有一個安裝文件,還有資料。以10.0.0版本為例,安裝文件為AppScan_Setup_10.0.0.exe,文件在文件夾AppScanStdCrk中。
打開AppScanStdCrk之后,里面有文件,AppScanStandard.txt和rcl_rational.dll。
1.2 AppScan的安裝
以管理員權限運行AppScan_Setup_10.0.0.exe,進行默認安裝,通過一直點擊下一步,可以完成安裝。
安裝后進行軟件的操作。
將rcl_rational.dll復制保存到軟件的安裝目錄C:\Program Files (x86)\HCL\AppScan Standard中。
然后打開軟件,選擇幫助—許可證,點擊下方的切換到IBM許可證,在新彈出的頁面點擊“打開AppScan License Manager”,然后在彈出的頁面點擊右上方的許可證配置,點擊+號,
選擇文件AppScanStandard.txt,導入文件,導入成功后確定。
通過替換文件,以及導入文本,軟件安裝成功,軟件信息如下所示。
2 AppScan的漏洞掃描過程
利用工具AppScan進行漏掃,可以自動化的對某個網站進行漏洞掃描。
比如對某個網站進行漏掃,首先點擊文件—新建,選擇掃描Web應用程序,然后會出現掃描配置向導。第一步確認起始URL,在文本輸入欄輸入要掃描的網址或網站IP,點擊下一步。
第二步是進行登錄管理的設置。可以選擇默認的記錄方式登錄到應用程序,點擊記錄,選擇chrome(比較常用),進行登錄操作,這時候工具會記錄下來登錄信息。然后點擊下一步。
第三步進行測試策略的選擇,上方有測試策略的選擇框,下方左側是策略的列表,下方右側是對測試策略的說明。
第四步是測試優化的選擇。
最后一步是選擇啟動掃描的方式,默認是啟動全面自動掃描,點擊完成后,工具開始漏洞掃描。也可以選擇“我將稍后啟動掃描”,進行策略配置后,再進行掃描工作。
啟動掃描后,等待掃描任務完成。
3安全報告的生成
掃描完成之后,會在軟件的頁面顯示相應的掃描結果信息,可以通過點擊對應的信息點直接查看漏洞情況。
也可以生成pdf格式的安全報告,提交給相應的人員,以便進一步的處理。點擊菜單下面的工具欄的報告。
在創建報告的頁面選擇安全性,然后可以選擇一個模板,右側會顯示模板中包含的內容,選擇詳細模板,基本上會包含絕大部分內容,也可以直接在右側勾選內容。
選擇完成后,點擊保存報告,則會生成pdf安全報告。
4 結語
該部分主要對AppScan的安裝、漏洞掃描以及報告生成進行了說明,是一個簡易的操作描述,如果對漏洞掃描有特別要求,還需要進行測試策略的詳細配置,在配置工具欄,可以看到詳細的策略配置信息,后續還要介紹安全測試報告的分析,以及對應漏洞的處理。