安全測試的工作流程

安全掃描需要認真配置，以便其可以找到 Web 應用程序上的所有 URL，然后測試其弱點。

開始之前

要成功掃描您的站點，您必須確保：

• 盡可能全面地掃描站點。
• 不掃描重復或不相關的內容。
• 報告結果有用且準確。

要進行滿足這些條件的成功掃描，需要采用迭代方式。您還必須深刻了解站點的結構和技術。

• 第一次掃描時，最好限制起始 URL 的數量，以便掃描可以更快速的進行。
• 您可以添加無效 URL 作為起始 URL 以掃描除在典型起始 URL 之內或之下找到的頁面之外的頁面。
• 了解要掃描 URL 的精確名稱會很有幫助。每個 URL 都應該有效，否則作業無法對其進行掃描。作業在掃描過程中遇到無效 URL 時，它會繼續移至“現有起始 URL”表中的下一個 URL。但是，無效 URL 可用來掃描未包括在起始 URL 中的目錄。

過程

1. 產品管理員創建要測試的服務器組。請參閱創建服務器組
2. 產品管理員啟用要掃描的 IP 地址。請參閱啟用和禁用要掃描的 IP 地址。
3. 產品管理員創建/導入要使用的安全測試策略。請參閱從 AppScan Standard 導入高級安全測試策略和創建簡單安全測試策略。
4. 瀏覽站點，尋找可能干擾掃描的項。部分示例包括：
   • 登錄頁面
   • 排除，如“添加到”購物車、打印此頁面和列標題排序
   • 會話標識和其他參數
   • 定制錯誤頁面
   • 可能需要值的表單
   • Flash 或 JavaScript?
5. 配置安全掃描并予以運行。請參閱使用 AppScan Enterprise 中的掃描屬性配置安全掃描執行安全掃描。這樣做有助于包含與執行安全掃描相關聯的風險。預生成環境應該盡可能反映生產環境；應用程序在兩個環境中應該具有相同的可執行文件，以便您知道在徹底測試暴露的應用程序。安全掃描還應該集成到軟件開發生命周期 (SDLC) 過程中，以便可以在安全問題進入生產環境之前將其捕獲。”)。
6. 優化和擴展掃描。測試掃描報告結果應該能夠指明需要如何對掃描進行優化。
   1. 掃描過程是否提前結束？如果是，那么可能是注銷頁面導致了掃描過程停止。
   2. 檢查報告中是否存在誤報。
   3. 確定是否應該從報告中除去完全相同的頁面或完全相同的表單。頁面和表單可能具有一些會導致掃描過程將它們看作不同頁面和表單的參數（查詢字符串或 POST 數據）或 cookie，而事實上它們完全相同。您必須將 URL 和表單規范化，以便從頁面和表單中除去參數，如會話標識。掃描過程隨后將會把它們看作是完全相同的。通過對全局域進行編輯，在“服務器”和“域”級別執行規范化，或在個別掃描作業級別執行規范化。對特定域中掃描的所有 URL 和表單，可以應用相同的規則。
   4. 如果應用程序的有些 URL 未被發現，請使用“手動探索”功能來手動探索站點，并將 URL 添加到掃描過程。
   5. 參考 Web 站點體系結構報告以確定是否有更多域或目錄需要掃描。被識別為外部域的域可以添加到“掃描對象”頁面中，以便將它們包含在掃描過程中。如果此頁面上列出的域中有任何域尚未掃描，則可能是登錄頁面導致無法到達它們。
   6. 基于結果重新評估如何配置屬性。您可能需要配置額外的屬性，或是更改現有屬性的設置。
   7. 重復最后兩個步驟，直到您確定已正確掃描和分析了整個 Web 站點或應用程序（沒有誤報等等）。
7. 修補漏洞，然后重新測試安全問題。請參閱重新測試安全問題。
8. （可選）測試 Web service 以查找安全漏洞。請參閱 測試 Web 服務是否存在安全漏洞。
9. （可選）測試以發現惡意軟件。請參閱測試以發現惡意軟件。
10. 運行安全性儀表板并分發結果。請參閱運行預創建的儀表板。