Rational AppScan,是對 Web 應用和 Web Services 進行自動化安全掃描的黑盒工具,它不但可以簡化企業發現和修復 Web 應用安全隱患的過程,還可以根據發現的安全隱患,提出針對性的修復建議,並能形成多種符合法規、行業標準的報告,方便相關人員全面瞭解企業應用的安全狀況
工具/原料
計算機作業系統
Rational AppScan
方法/步驟
配置環境引數:環境引數主要包括應用程式伺服器、資料庫型別等,根據實際掃描的應用程式部署環境而定。如下圖
配置多步驟操作引數:點選掃描配置面板左邊的多步驟操作開啟多步驟操作檢視,此檢視中列出了所有已經建立的操作序列,可以將存在的序列匯出成單獨檔案,也可以匯入曾經被匯出的序列檔案
點選紅色的按鈕會彈出 AppScan 內建的瀏覽器,在此瀏覽器中使用者只需像平時使用應用一樣完成某項功能即可,關閉瀏覽器即完成序列指令碼的錄製。在測試過程中,AppScan 會將當前待測試的URL與錄製的序列指令碼中的URL進行比較,如果發現待測URL是某個序列中的一步,AppScan 會重放所有前置序列指令碼以使對當前頁面的訪問合法
基於專案的實際情況配置其他探索引數
配置JSESSION引數
配置連線引數(即通訊和代理)
配置測試策略
配置掃描引數
配置結果專家
至此,各項基本引數配置完成,接下來只需執行掃描,檢視掃描結果即可
注意事項
各種引數的配置並未有明確規定,需根據應用的實際情況加以靈活運用!