本文由阿德馬翻譯自國(guó)外網(wǎng)站,尊重勞動(dòng)成果,轉(zhuǎn)載請(qǐng)注明出處,謝謝.

本文將詳細(xì)介紹Appscan功能選項(xiàng)設(shè)置的細(xì)節(jié),適合E文一般,初次接觸Appscan的童鞋參考閱讀.

Appscan 是web應(yīng)用程序滲透測(cè)試舞臺(tái)上使用最廣泛的工具之一.它是一個(gè)桌面應(yīng)用程序，它有助于專業(yè)安全人員進(jìn)行Web應(yīng)用程序自動(dòng)化脆弱性評(píng)估。本文側(cè)重于配置和使用Appcan，分析掃描結(jié)果將在下一篇文章中討論.

Appscan的主要特點(diǎn):

Appscan 8.5標(biāo)準(zhǔn)版有很多新的功能，其中大部分將在我下面的概要中涵蓋：

Flash支持： 8.0 Appscan相對(duì)早期的版本增加了flash支持功能，它可以探索和測(cè)試基于Adobe的Flex框架的應(yīng)用程序，也支持AMF協(xié)議。

Glass box testing:：Glass box testing是Appscan中引入的一個(gè)新的功能.這個(gè)過(guò)程中，安裝一個(gè)代理服務(wù)器,這有助于發(fā)現(xiàn)隱藏的URL和其它的問(wèn)題。

Web服務(wù)掃描：Web服務(wù)掃描是Appscan中具有有效自動(dòng)化支持的一個(gè)掃描功能。

Java腳本安全分析：Appscan中介紹了JavaScript安全性分析,分析抓取html頁(yè)面漏洞，并允許用戶專注于不同的客戶端問(wèn)題和DOM（文檔對(duì)象模型）為基礎(chǔ)的XSS問(wèn)題。

報(bào)告：根據(jù)你的要求，可以生成所需格式的報(bào)告。

修復(fù)支持：對(duì)于確定的漏洞,程序提供了相關(guān)的漏洞描述和修復(fù)方案.

可定制的掃描策略：Appscan配備一套自定義的掃描策略,你可以定制適合你需要的掃描策略。

工具支持：它有像認(rèn)證測(cè)試，令牌分析器和HTTP請(qǐng)求編輯器等,方便手動(dòng)測(cè)試漏洞.

Ajax和Dojo框架的支持。
現(xiàn)在，讓我們繼續(xù)學(xué)習(xí)更多有關(guān)安裝和使用Rati??onal AppScan掃描Web應(yīng)用程序的過(guò)程。

Appscan的安裝：

要運(yùn)行Appscan的系統(tǒng)至少需要2GB的RAM,同時(shí)確保安裝了.net framwork和Adobe flash來(lái)執(zhí)行掃描過(guò)程中的Flash內(nèi)容。在進(jìn)一步之前，需要注意的是,這種自動(dòng)掃描器會(huì)發(fā)送數(shù)據(jù)到服務(wù)器,有可能在掃描過(guò)程中讓服務(wù)器超過(guò)負(fù)荷，所以它可能會(huì)刪除服務(wù)器上的數(shù)據(jù)，添加新記錄甚至讓服務(wù)器崩潰.因此掃描之前最好備份所有的數(shù)據(jù).

安裝Appscan之前，關(guān)閉所有打開的應(yīng)用程序。點(diǎn)擊安裝文件，會(huì)出現(xiàn)安裝向?qū)?如果你還沒有安裝.Net framwork，Appscan安裝過(guò)程會(huì)自動(dòng)安裝，并需要重新啟動(dòng)。按照向?qū)У闹甘荆梢院苋菀椎耐瓿砂惭b.如果你使用的是默認(rèn)許可，你將只允許掃描appscan中的測(cè)試網(wǎng)站。要掃描自己的網(wǎng)站，需要付費(fèi)購(gòu)買許可版本.

探索和測(cè)試階段：

在我們開始掃描之前，讓我們對(duì)Appscan的工作做一個(gè)了解.任何自動(dòng)化掃描器都有兩個(gè)目標(biāo)：找出所有可用的鏈接和攻擊尋找應(yīng)用程序漏洞。

探索(Explore):

在探索階段，Appscan試圖遍歷網(wǎng)站中所有可用的鏈接，并建立一個(gè)層次結(jié)構(gòu)。它發(fā)出請(qǐng)求，并根據(jù)響應(yīng)來(lái)判斷哪里是一個(gè)漏洞的影響范圍。例如，看到一個(gè)登陸頁(yè)面，它會(huì)確定通過(guò)繞過(guò)注入來(lái)通過(guò)驗(yàn)證.在探索階段不執(zhí)行任何的攻擊，只是確定測(cè)試方向.這個(gè)階段通過(guò)發(fā)送的多個(gè)請(qǐng)求確定網(wǎng)站的結(jié)構(gòu)和即將測(cè)試的漏洞范圍。

測(cè)試(Test)：

在測(cè)試階段,Appscan通過(guò)攻擊來(lái)測(cè)試應(yīng)用中的漏洞.通過(guò)釋放出的實(shí)際攻擊的有效載荷，來(lái)確定在探索階段建立的安全漏洞的情況.并根據(jù)風(fēng)險(xiǎn)的嚴(yán)重程度排名。

在測(cè)試階段可能回發(fā)現(xiàn)網(wǎng)站的新鏈接，因此Appscan在探索和測(cè)試階段完成之后會(huì)開始另一輪的掃描，并繼續(xù)重復(fù)以上的過(guò)程，直到?jīng)]有新的鏈接可以測(cè)試。掃描的次數(shù)也可以在用戶的設(shè)置中配置.

開始Appscan掃描：

Appscan的試用版可以從下面的鏈接下載并安裝：

http://www.ibm.com/developerworks/downloads/r/appscan/~~V

開始掃描,啟動(dòng)Appscan，你會(huì)看到圖一中所示的歡迎屏幕.

圖一

點(diǎn)擊"Create New Scan" 開始掃描一個(gè)新的Web應(yīng)用程序

圖二

選擇一個(gè)適合你要求的掃描模板。模板包括已經(jīng)定義好的掃描配置.選擇一個(gè)模板后會(huì)出現(xiàn)配置向?qū)АＫ鼤?huì)問(wèn)你選擇的掃描類型，選擇"Web Application Scan"，然后點(diǎn)擊Next

掃描配置向?qū)窃摴ぞ叩暮诵牟糠?使用設(shè)置向?qū)В瑫?huì)讓Appscan知道的需求,其中有很多可供的需求選擇.

URL and Servers(URL和服務(wù)器)

Starting URL(起始網(wǎng)址)： 此功能指定要掃描的起始網(wǎng)址.在大多數(shù)情況下，這將是該網(wǎng)站的登陸頁(yè)面.選擇http://demo.testfire.net這個(gè)演示站來(lái)測(cè)試Web應(yīng)用程序漏洞.如果你想限制只掃描到這個(gè)目錄下的鏈接,選中該復(fù)選框.

Case Sensitive Path(大小寫的選擇) :如果你的服務(wù)器URL有大小寫的區(qū)別,選擇此項(xiàng)。對(duì)大小寫的區(qū)別取決于服務(wù)器的操作系統(tǒng),Linux/Unix中對(duì)大小寫是敏感的,而Windows是沒有的.

?

圖三：

Additional Servers and Domains(另外的服務(wù)器和域):在掃描過(guò)程中Appscan嘗試抓取本網(wǎng)站上的所有鏈接。當(dāng)它發(fā)現(xiàn)了一個(gè)鏈接指向不同的域,它是不會(huì)進(jìn)行掃描攻擊的,除非在"Additional Servers and Domains"中有指定.因此,通過(guò)指定該標(biāo)簽下的鏈接,來(lái)告訴Appscan繼續(xù)掃描,即使它和URL是不同的域下.點(diǎn)擊下一步繼續(xù)。

Login Management(登陸管理)

在掃描的過(guò)程中，可能會(huì)不小心碰到退出按鈕導(dǎo)致Appscan注銷.因此,要登陸到應(yīng)用程序中,我們需要根據(jù)本條中的設(shè)置。

Recorded(記錄): 選擇此項(xiàng)后,會(huì)出現(xiàn)一個(gè)新的瀏覽器，并嘗試鏈接到指定的網(wǎng)站作為本掃描的起始URL.你需要輸入賬號(hào)和密碼登陸到應(yīng)用程序.這樣設(shè)置之后你可以關(guān)閉瀏覽器，但是不要點(diǎn)擊注銷按鈕.有時(shí)候你會(huì)發(fā)現(xiàn)打開的瀏覽器不是IE或者M(jìn)ozilla，而是Appscan瀏覽器.你可以改變通過(guò)設(shè)置來(lái)改變這個(gè).Tools-->Options -->Advanced,設(shè)置OpenIEBrower的值0--Appscan瀏覽器,1--IE,2--Firefox,3--Chrome.如果該網(wǎng)站的行為在不同的瀏覽器下有所不同,這個(gè)設(shè)置將是非常有用的.

圖四

Prompt(提示): 每次注銷之后,Appscan會(huì)提示你登陸到應(yīng)用程序中.如果你打算整個(gè)掃描你的系統(tǒng)，你可以選擇這個(gè)選項(xiàng).

Automatic(自動(dòng)) ：在這里你可以直接指定用戶名和密碼,當(dāng)你需要登陸到應(yīng)用程序的時(shí)候.

圖五

點(diǎn)擊下一步繼續(xù).

Test Policy

根據(jù)你的測(cè)試策略,你需要選擇最適合你需求的策略,現(xiàn)有的策略都是默認(rèn)的,僅應(yīng)用和基礎(chǔ)設(shè)置，侵入性的，完整的，關(guān)鍵的少數(shù)等等.其中大多是使用現(xiàn)有的策略.如果你不希望在登陸時(shí)發(fā)送測(cè)試和注銷頁(yè)面，你可以選擇該選項(xiàng)。

圖六

點(diǎn)擊下一步繼續(xù).

Complete

這是開始掃描的最后一步.IBM Rational Appscan允許你選擇你想要的掃描方式，即完成掃描,探索掃描等.

Start a full automatic sacn(開始一個(gè)完整的自動(dòng)掃描): 隨著前面創(chuàng)建的配置,Appscan將開始探索和測(cè)試階段.

Start with automatic explore only(開始探索掃描): Appscan只會(huì)探索應(yīng)用程序，但不發(fā)送攻擊.

Start with manual explore(開始手動(dòng)探索): 瀏覽器將被打開,你可以手動(dòng)瀏覽器應(yīng)用程序.

當(dāng)你想做出更多的更改掃描配置,你可以選擇最后一個(gè)選項(xiàng)"i will start scan later".

在我們開始之前,我們有很重要的事情要做,它是Appscan的心臟和靈魂-"Full scan Configuration(全局掃描配置)"窗口.讓我們明白為什么它在掃描任意應(yīng)用程序的時(shí)候那么重要.

圖七：

Full Scan Configuration

在下圖中，有四個(gè)主要的部分--探索，鏈接，測(cè)試和一般，讓我們看看具體的細(xì)節(jié)：

Explore

URL and Servers(URL和服務(wù)器): ?掃描的URL和額外的服務(wù)器鏈接的處理.

Login Management(登陸管理): 除了登陸方法,如果你想在Appscan同時(shí)登陸，通過(guò)這個(gè)可以指定.這將減少總的掃描時(shí)間.你還可以指定正則表達(dá)式檢測(cè)注銷頁(yè).

圖八：

Environment Definition(環(huán)境的定義): 在此設(shè)置下，你可以指定操作系統(tǒng),Web服務(wù)器,數(shù)據(jù)庫(kù)服務(wù)器,以及其它第三方組件,它可以幫助你提高掃描的精度和性能。

?

圖九：

Exclude Paths and Files(排除路徑和文件): 設(shè)置掃描過(guò)程中排除的特定路徑,甚至是特定的文件,比如.mps或.7z等.你可以在此選項(xiàng)下通過(guò)正則表達(dá)式來(lái)設(shè)置.

Explore Options(瀏覽選項(xiàng)): 冗余路徑選項(xiàng)有助于設(shè)置Appscan針對(duì)相同路徑的掃描次數(shù)限制。因?yàn)橛袝r(shí)Appscan可能會(huì)進(jìn)入一個(gè)無(wú)限循環(huán)一次又一次掃描相同的URL.

Parameters and Cookies(參數(shù)和Cookies): 包括有關(guān)參數(shù)的詳細(xì)信息和應(yīng)用程序中存在的COOKIES.

Automatic Form Fill(自動(dòng)表格填寫): 在掃描過(guò)程中,Appscan遇到需要輸入的形式.例如，一個(gè)注冊(cè)頁(yè)面，可能需要輸入值，比如用戶名和地址等。通過(guò)選擇此項(xiàng),可以讓Appscan自動(dòng)填寫這些信息.

Error pages(錯(cuò)誤頁(yè)面): 你在此配置下輸入的錯(cuò)誤頁(yè)面將幫助Appscan判斷錯(cuò)誤頁(yè)面.

Multi-Step Operations(多步驟操作): 有部分應(yīng)用程序,只有當(dāng)你請(qǐng)求的數(shù)據(jù)按一定的順序才可以達(dá)成(比如電子商務(wù)網(wǎng)站).通過(guò)這個(gè)設(shè)置你可以點(diǎn)擊"start recording"來(lái)記錄其序列.

Glass box Scanning: Glass box Scanning是Appscan引入的一個(gè)新的功能,代理將被安裝在服務(wù)器上,這有助于掃描找到隱藏的URl和其它的問(wèn)題.

Communication and Proxy(通訊及代理): 你可以指定掃描器是否可以使用IE瀏覽器的代理設(shè)置(或不能使用任何代理)。

HTTP Authentication(HTTP身份驗(yàn)證): 使用客戶端證書,上傳證書文件和密鑰文件.

Test Policy(測(cè)試策略): 所有的測(cè)試名稱都列在這個(gè)部分,如果你不想Appscan掃描特定的漏洞，你可以取消其中的任何一個(gè).

?

圖十：

Test Options(測(cè)試選項(xiàng)): 這個(gè)部分你可以選擇適合的測(cè)試選項(xiàng).Appscan發(fā)送大量的測(cè)試，需要花費(fèi)大量的時(shí)間.但是選擇適性測(cè)驗(yàn),Appscan會(huì)嘗試發(fā)送,以確定是適當(dāng)?shù)臏y(cè)試.它可以檢測(cè)到服務(wù)器是IIS,然后只發(fā)送其中針對(duì)IIS的脆弱性檢測(cè)測(cè)試,而不會(huì)檢查其它服務(wù)器有關(guān)的問(wèn)題.

Privilege Escalation(特權(quán)升級(jí)): 你可以上傳不同權(quán)限的用戶或未經(jīng)授權(quán)的用戶掃描的掃描文件。

Scan Expert(掃描專家): 掃描專家提出了建議，以更好的掃描應(yīng)用程序。

點(diǎn)擊OK，將回到最初的掃描向?qū)Т翱?選擇"start a full automatic sacn",單擊"finish"。完成配置過(guò)程，開始Appscan掃描.下一篇文章中，我們將探討有關(guān)Appscan掃描結(jié)果分析.