很多公司對軟體會有安全的要求,一般測試公司會使用安全漏洞掃描工具對軟體進行漏掃,然後給出安全報告,然後軟體開發人員會根據提供的安全報告進行漏洞的處理。我們接觸到的測評公司,使用的是漏洞掃描工具AppScan,這裡介紹一下AppScan的安裝使用,以及安全報告的生成。
1漏掃工具AppScan的下載和安裝
1.1 AppScan的下載
利用百度搜尋Appscan,可以找到對應的資源,下載後,一般是壓縮檔案,大概500M左右,現在的版本是10.0,舊一些的版本9.0也可以,檔案大小差不多。檔案解壓後,有一個安裝檔案,還有資料。以10.0.0版本為例,安裝檔案為AppScan_Setup_10.0.0.exe,檔案在資料夾AppScanStdCrk中。
開啟AppScanStdCrk之後,裡面有檔案,AppScanStandard.txt和rcl_rational.dll。
1.2 AppScan的安裝
以管理員許可權執行AppScan_Setup_10.0.0.exe,進行預設安裝,通過一直點選下一步,可以完成安裝。
安裝後進行軟體的操作。
將rcl_rational.dll複製儲存到軟體的安裝目錄C:\Program Files (x86)\HCL\AppScan Standard中。
然後開啟軟體,選擇幫助—許可證,點選下方的切換到IBM許可證,在新彈出的頁面點選“開啟AppScan License Manager”,然後在彈出的頁面點選右上方的許可證配置,點選+號,
選擇檔案AppScanStandard.txt,匯入檔案,匯入成功後確定。
通過替換檔案,以及匯入文字,軟體安裝成功,軟體資訊如下所示。
2 AppScan的漏洞掃描過程
利用工具AppScan進行漏掃,可以自動化的對某個網站進行漏洞掃描。
比如對某個網站進行漏掃,首先點選檔案—新建,選擇掃描Web應用程式,然後會出現掃描配置嚮導。第一步確認起始URL,在文字輸入欄輸入要掃描的網址或網站IP,點選下一步。
第二步是進行登入管理的設定。可以選擇預設的記錄方式登入到應用程式,點選記錄,選擇chrome(比較常用),進行登入操作,這時候工具會記錄下來登入資訊。然後點選下一步。
第三步進行測試策略的選擇,上方有測試策略的選擇框,下方左側是策略的列表,下方右側是對測試策略的說明。
第四步是測試優化的選擇。
最後一步是選擇啟動掃描的方式,預設是啟動全面自動掃描,點選完成後,工具開始漏洞掃描。也可以選擇“我將稍後啟動掃描”,進行策略配置後,再進行掃描工作。
啟動掃描後,等待掃描任務完成。
3安全報告的生成
掃描完成之後,會在軟體的頁面顯示相應的掃描結果資訊,可以通過點選對應的資訊點直接檢視漏洞情況。
也可以生成pdf格式的安全報告,提交給相應的人員,以便進一步的處理。點選選單下面的工具欄的報告。
在建立報告的頁面選擇安全性,然後可以選擇一個模板,右側會顯示模板中包含的內容,選擇詳細模板,基本上會包含絕大部分內容,也可以直接在右側勾選內容。
選擇完成後,點選儲存報告,則會生成pdf安全報告。
4 結語
該部分主要對AppScan的安裝、漏洞掃描以及報告生成進行了說明,是一個簡易的操作描述,如果對漏洞掃描有特別要求,還需要進行測試策略的詳細配置,在配置工具欄,可以看到詳細的策略配置資訊,後續還要介紹安全測試報告的分析,以及對應漏洞的處理。