HCL AppScan Enterprise 中文文檔 10.0.1 從模板創建掃描
掃描模板的類型
以下是 AppScan Enterprise 中的可用掃描模板。安全團隊還可能創建特定于您的組織的模板。
表 1. 掃描模板的類型
| 模板 | 描述 |
|---|---|
| Altoro Mutual | 掃描 Scan Altoro Mutual,這是一個演示安全測試的 Web 站點 |
| AppScan? Developer 導入 | 從 AppScan Developer 導入結果 |
| AppScan Source 導入 | 從 AppScan Source 導入結果 |
| AppScan Standard 導入 | 從 AppScan Standard 導入結果 |
| 綜合 | 旨在用于最大瀏覽和測試覆蓋率的密集掃描 |
| HacmeBank | 容器為來自于 Foundstone 的示例站點 HacmeBank 預定義了設置 |
| 惡意軟件掃描 | 掃描站點以發現惡意鏈接 |
| 基于參數導航 | 用于包含基于參數的導航的站點 |
| 快速和細體掃描 | 掃描最普遍最容易就能發現的質量安全問題 |
| 安全掃描 | 掃描站點的安全問題 |
| Web 服務安全掃描 | 掃描 Web service 中的安全問題 |
| WebGoat v5 | 容器為 OWASP WebGoat 示例站點預定義了設置 |
| WebSphere? Commerce 安全性掃描 | 掃描構建于 WebSphere Commerce 平臺的站點 |
| WebSphere Portal 安全性掃描 | 掃描構建于 WebSphere Portal 平臺的站點 |
使用 AppScan Standard 掃描屬性根據模板創建掃描
創建使用模板(基于 AppScan Standard 中的掃描配置選項)的掃描。一個易于使用的向導 (AppScan Dynamic Analysis Client) 將帶領您完成掃描配置選項,包括基于操作的登錄和手動探索功能。
關于此任務
- 此任務通常由具有有限用戶許可權的開發人員完成。
- 標準用戶具有完整用戶許可權,可以編輯 AppScan Dynamic Analysis Client 中的“基本”和“附加”選項。
過程
在監視器視圖中的應用程序選項卡中,單擊創建掃描。
在“創建掃描”頁面中,選取文件夾和模板。
注:
- 如果選擇導入模板,從主題創建導入掃描中的步驟 2 開始。
- 如果組織已從較低版本的 AppScan Enterprise 升級,現有模板將保持原樣。如果存在命名沖突,新的模板名稱上將附加 (9.0.2)。
單擊創建。
如果尚未在計算機上安裝 AppScan Dynamic Analysis Client,請下載并安裝。無論您創建多少次掃描,您僅需要進行一次下載。
在 AppScan Dynamic Analysis Client 中,完成客戶機的屏幕。在“作業屬性”頁面上,確保選擇“文件夾”和“測試策略”,否則將不會創建作業。
可將應用程序與客戶機或 AppScan Enterprise 中的掃描關聯。如果返回到 AppScan Enterprise 時掃描正在運行,請等到掃描完成,然后將其與應用程序關聯。
單擊創建作業以返回到 AppScan Enterprise。
在 AppScan Enterprise 中,單擊完成。
使用 AppScan Enterprise 掃描屬性根據模板創建掃描
QuickScan 使用管理員所創建的掃描模板中設置的參數在站點中進行搜索以發現其內容。掃描收集數據后,此數據將存儲在數據庫中,由報告引擎進行分析,并且您可以通過報告包(報告的集合)使用此數據。大多數數據分析任務都將把焦點放在這些報告提供的數據上。
開始之前
- 該任務由具有 QuickScan 用戶許可權的開發人員完成。AppScan Enterprise V9.0.2 引入了用于創建掃描的新方法。該方法有助于創建一致的掃描配置和結果創建使用模板(基于 AppScan Standard 中的掃描配置選項)的掃描。一個易于使用的向導 (AppScan Dynamic Analysis Client) 將帶領您完成掃描配置選項,包括基于操作的登錄和手動探索功能。”)。
- 您可能需要安裝瀏覽器插件以使用手動探索或記錄登錄功能。您還可以使用 Manual Explorer 工具。
關于此任務
警告: 請勿在掃描配置中使用任何私密信息,因為此數據可能會被第三方查看。要繼續進行瀏覽器記錄,請確保您已從任何現有會話注銷。在手動瀏覽過程中使用測試用戶帳戶以避免用戶名和密碼以明文形式顯示在 Enterprise Console 界面上。
注:
- 根據您使用的模板,此任務中討論的一些選項可能對您不可用。
- 如果需要配置某些更高級的掃描選項(例如,設置 URL 排除),請單擊“設置”選項卡底部的高級掃描配置鏈接。
過程
在“掃描”視圖中,從 QuickScan 模板列表(在工具欄下方)中選擇掃描模板,在字段中輸入起始 URL,并單擊創建 QuickScan 圖標。根據您選擇的模板,將打開“設置”選項卡或記錄瀏覽器。
如果“設置”選項卡打開,請在必要時將掃描名稱編輯為對貴組織更有意義的內容。掃描名稱缺省為您在上一頁輸入的 URL 的名稱。
(可選)導入流量數據:
單擊導入流量。
選擇要如何使用流量數據。
下載并安裝 Manual Explorer 工具。
注:
- 托管 Manual Explorer 工具的機器還必須支持 FIPS,以便此工具正常運行。
- 如果您要使用 Microsoft? Windows? 2008 Server(帶有或不帶 R2),那么在嘗試安裝此工具時可能會遇到以下錯誤消息:“系統管理員已設置策略來阻止此安裝”。服務器上設置的組策略不允許常規用戶執行安裝。請要求系統管理員為您更改組策略或安裝該工具。
要啟動 Manual Explorer,請轉至開始菜單 > HCL AppScan Manual Explorer 或桌面圖標。
單擊文件 > 首選項并配置記錄工具的設置:
單擊 AppScan? Manual Explorer 工具上的記錄并瀏覽應用程序。
在完成對站點的瀏覽之后,保存此文件并關閉 Manual Explorer 工具。
導入 *.htd 文件,然后單擊導入以將 URL 添加到 QuickScan。
跳過步驟 4 并完成任務。
如果記錄瀏覽器打開,請遵循以下步驟:
- 手動瀏覽站點,與此同時輸入數據并單擊鏈接。QuickScan 將記錄所有輸入,直至您單擊停止記錄按鈕或關閉記錄瀏覽器為止。
- 您完成探索應用程序后,請單擊停止或關閉瀏覽器。將打開“設置”選項卡。
- 如有必要,將掃描名稱編輯為對貴組織更有意義的內容。掃描名稱缺省為您在上一頁輸入的 URL 的名稱。
- 檢查要掃描的 URL 列表以驗證 QuickScan 是否已準確識別您應用程序的登錄頁面,以及您是否擁有在已記錄的 URL 上運行安全性測試的許可權。登錄頁面之前記錄的所有頁面都歸類為登錄序列的一部分。在登錄頁面后記錄的頁面分類為常規頁面。如果您想要對某些 URL 重新分類,請選擇這些 URL 并將其移至 URL 列表中相應行的上方或下方。如有必要,您可以重新記錄登錄序列,或者手動探索站點以將 URL 添加到掃描。
- 選擇您希望完成掃描的方式。如果將掃描設置為搜尋的頁數不受限制,那么掃描可能需要很長時間才能完成。
- (可選)選擇登錄會話標識以將其作為被跟蹤的會話標識添加到域的全局列表。列表中顯示灰色的會話標識已存在于域的全局列表中。記錄的登錄序列期間找到未顯示灰色的會話標識。
- 繼續步驟 4。
(可選)配置自動登錄。如果應用程序需要一次性登錄,請使用用戶名和密碼,讓掃描為您自動登錄。
(可選)啟用或禁用會話中檢測。會話中模式詳細信息部分顯示了在掃描以驗證其是否登錄期間所使用的會話中模式。如果這不是您想要使用的模式,請輸入其他模式,然后單擊更新以驗證模式。
單擊更多掃描選項以配置可選的掃描屬性。
配置掃描完成后,單擊保存,保存掃描選項。
開始掃描。將打開“進度”選項卡,并顯示掃描運行中的掃描統計信息。您也可以選擇下列操作:
- 保存當前結果并停止:保存當前結果并停止作業。該運行過程將正常結束并將迄今收集到的數據保存到數據庫中,但報告將不完整。
- 廢棄結果并停止:丟棄在運行期間收集到的任何數據并停止作業。
下一步做什么
掃描結果準備就緒時,您可以在“結果”選項卡上查看報告。報告顯示關于您 Web 站點或應用程序的信息,并提供瀏覽更多詳細信息的功能。大多數數據分析任務都將把焦點放在這些報告提供的數據上。
“QuickScan 設置”選項卡控件
這些控件中的部分或全部可用于 QuickScan 用戶,具體取決于所使用的模板。
掃描名稱
掃描名稱缺省為您在上一頁輸入的起始 URL(以及任何唯一標識),但是如果需要,您可以將其更改為更有意義的內容。
要掃描的 URL
QuickScan 在您探索應用程序時識別了這些 URL,并且將其分類為登錄 URL 或常規 URL。如果檢測到會話中頁面,那么也會對其進行分類。僅有一個頁面可以處于會話中狀態。
將頁面重新分類:單擊相應的上方向或下方向鍵將其移至列表中“登錄步驟”欄上方或“探索”欄下方。
識別會話中頁面:如果突出顯示的 URL 不是要用作會話中頁面的頁面,請選中所需頁面的相應復選框,然后單擊會話中按鈕。請注意,如果您將分類線移至標記為會話中的頁面下方,那么將除去會話中分類。
添加 URL:如有必要,重新記錄登錄,或者探索更多 URL 以完成列表。
許可權:指示是否允許您掃描列表中的各 URL。如果沒有針對該 URL 的安全許可權,可能是因為存在許可限制,或者該 URL 不屬于已指定給您的服務器組。如果您需要增強許可權,請與產品管理員聯系。
按有序序列測試探索 URL:在只能通過以特定順序發送請求來訪問您的部分 Web 應用程序時,選擇此選項。掃描在發送測試之前,將按您記錄 URL 的順序來回放這些 URL。選擇該選項會降低測試速度。
自動探索:如果將掃描設置為搜尋的頁數不受限制,那么掃描可能需要很長時間才能完成。
頁數:通過輸入特定頁數來縮短掃描持續時間。
深度限制:使用此選項以確保掃描僅訪問 Web 站點中最前面幾頁。掃描將不會搜尋超過指定數量的頁面;缺省值為 20 次點擊的深度。如果將深度限制設置為少于 6 次點擊,那么您在“深度頁面”報告中可能不會獲取準確信息,因為“深度頁面”報告中所報告的缺省限制為 6 次點擊的深度。注:升級時,此選項為禁用。
登錄會話標識:“登錄會話標識”列表可顯示登錄期間所檢測到的 cookie 和參數。您可以選擇此列表中的變量并使用跟蹤和停止跟蹤按鈕來更改其狀態。在跟蹤會話標識時,會通過登錄請求的響應對會話標識值進行解析,然后將其應用到為掃描會話的剩余部分發送的所有請求。如果您的站點對每個會話使用不同的值,那么作業將很難確定頁面是否與先前的會話相同(如果作業未跟蹤會話標識)。缺省情況下,將跟蹤 regexp:.ses.* 和 *regexp:.id.**。“跟蹤的會話標識”將添加到“參數和 Cookie”頁面。登錄期間如果發現定制參數沒有名稱,并設置為跟蹤,那么將修改定制參數的定義。
自動登錄
如果應用程序需要一次性登錄,請使用用戶名和密碼,讓掃描為您自動登錄。
會話中檢測
會話中狀態圖標表明是否已針對此掃描正確設置會話中檢測,以及會話中檢測是處于活動、禁用還是啟用狀態。每個圖標旁邊的消息都帶有更新任務和可能修復任務。
詳細信息字段將顯示激活會話中檢測復選框以及掃描將在掃描過程中用來驗證其是否已登錄的會話中模式。如果需要,請為該掃描啟用激活會話中檢測復選框。如果缺省模式不是您想要使用的模式,請輸入其他正則表達式,然后單擊更新。
測試策略
測試策略是在掃描期間發送的一組預定義的安全測試。
用戶掃描許可權
要執行安全性測試,您必須具有相應的許可權。在允許您創建安全性掃描的情況下,此列表會顯示特定服務器組和所指定的測試策略。服務器組就是用來定義一組服務器的 URL、IP 地址或 IP 地址范圍的集合。如果您需要更多掃描許可權,請與產品管理員聯系。
平臺認證
當掃描發現需要 HTTP 基本或 NTLM 認證的頁面時,掃描將自動提供您選擇的用戶名和密碼。
客戶機端證書
瀏覽文件系統以找到客戶機端證書。密碼用來驗證您是否具有上載證書的許可權。
重新分類 QuickScan URL
當您探索應用程序時,QuickScan 會記錄 URL 并使用發展程序將其分類成登錄順序的一部分或者分類成一般 URL。您在登錄到應用程序之前導航的任何頁面都將分類成登錄順序的一部分。遵循登錄順序的頁面會分類成一般 URL。如果任何 URL 未正確列出,那么可以將其重新分類。可通展開或折疊列表來查看列表中的所有 URL。
過程
- 在 QuickScan 的“設置”選項卡中,請執行以下操作之一:
- 單擊登錄步驟按鈕在列表中上移一行。
- 單擊探索按鈕在列表中下移一行。
- 單擊保存。
示例
如果 URL 出現在錯誤的列表中:
- 選擇 URL 并將其刪除。
- 執行下列其中一項操作:
- 單擊探索 URL 向列表中添加一般 URL。
- 單擊記錄登錄以重新記錄登錄順序。
- 單擊保存。
將登錄會話標識添加到域的全局列表
您可以將在記錄的登錄序列中找到的登錄會話標識添加到域的全局列表中。請注意,由于域是一項全局屬性,因此將會話標識添加到域中會影響域中使用此會話標識的任何作業。
開始之前
您必須通過記錄的登錄序列來創建內容 QuickScan。
過程
- 轉至“QuickScan 設置”選項卡的“要掃描的 URL”部分。
- 展開登錄會話標識并選擇您想要添加的登錄會話標識。
- 繼續配置 QuickScan(參閱使用 AppScan Enterprise 掃描屬性根據模板創建掃描。
- 單擊保存。
推薦文章: