AppScan是一個(gè)適合安全專家的 Web 應(yīng)用程序和 Web 服務(wù)滲透測(cè)試解決方案，通過該軟件，用戶可以快速的對(duì)網(wǎng)站中的HTML頁面進(jìn)行漏洞掃描，并能實(shí)現(xiàn)漏洞修復(fù)與系統(tǒng)安全信息評(píng)估，幫助用戶全面維護(hù)網(wǎng)站中的框架漏洞，實(shí)現(xiàn)對(duì)現(xiàn)代Web應(yīng)用程序和服務(wù)執(zhí)行自動(dòng)化的動(dòng)態(tài)應(yīng)用程序安全測(cè)試和交互式應(yīng)用程序安全測(cè)試，對(duì)于管理網(wǎng)站非常有效；軟件提供了技術(shù)先進(jìn)的Web服務(wù)掃描功能，可以針對(duì)相應(yīng)的網(wǎng)頁內(nèi)容進(jìn)行具體掃描，用戶可以自行選擇掃描方式，從而對(duì)網(wǎng)站中的頁面及內(nèi)容進(jìn)行全面掃描，包括網(wǎng)站的框架，支持對(duì)Web 2.0、JavaScript 和 AJAX 框架進(jìn)行安全監(jiān)測(cè)，快速而準(zhǔn)確的識(shí)別web的各項(xiàng)安全問題，同時(shí)，掃描的結(jié)果會(huì)生成PDF報(bào)告文檔，當(dāng)然了，您也可以指定將掃描結(jié)果生成您需要的格式，支持40多種合理性的分析報(bào)告，報(bào)告內(nèi)容十分詳細(xì)，能夠?qū)⒏鞣N漏洞信息進(jìn)行具體分析，方便用戶了解該網(wǎng)站的安全信息，用戶在掃描時(shí)，可以自行設(shè)置過濾與排除的項(xiàng)目，將不需要掃描的內(nèi)容與Web 應(yīng)用程序進(jìn)行屏蔽，有效的保護(hù)網(wǎng)站的基本信息，維護(hù)網(wǎng)站的隱私，也從側(cè)面加快了AppScan的掃描速度，非常方便；除了提供掃描功能外，AppScan還支持漏洞修復(fù)功能，用戶在掃描出漏洞信息后，可以直接通過該軟件進(jìn)行項(xiàng)目修復(fù)，非常實(shí)用，當(dāng)然了，有的漏洞是由網(wǎng)站本身的構(gòu)建框架引起的，需要用戶手動(dòng)進(jìn)行修復(fù)工作，真正實(shí)現(xiàn) Web 應(yīng)用程序和 Web 服務(wù)的全面安全評(píng)估與修復(fù)工作，AppScan的宗旨在于幫助每個(gè)人在組織中實(shí)現(xiàn)更好的業(yè)務(wù)成果，提供更智能，更友好的Web 服務(wù)方案，無論是在Web 應(yīng)用程序風(fēng)險(xiǎn)評(píng)估還是系統(tǒng)的漏洞掃描，都能夠輕松地?cái)U(kuò)展您的分析，以滿足不斷變化的業(yè)務(wù)需求，需要的朋友趕快下載試試吧！

軟件功能

　　1、Web服務(wù)掃描

　　Web服務(wù)掃描是Appscan8中具有有效自動(dòng)化支持的一個(gè)掃描功能。

　　2、Java腳本安全分析

　　Appscan8中介紹了JavaScript安全性分析,分析抓取html頁面漏洞，并允許用戶專注于不同的客戶端問題和DOM(文檔對(duì)象模型)為基礎(chǔ)的XSS問題。

　　3、工具支持

　　它有像認(rèn)證測(cè)試，令牌分析器和HTTP請(qǐng)求編輯器等,方便手動(dòng)測(cè)試漏洞.

　　4、報(bào)告

　　根據(jù)你的要求，可以生成所需格式的報(bào)告。

　　5、Glass box testing

　　Glass box testing是Appscan8中引入的一個(gè)新的功能.這個(gè)過程中，安裝一個(gè)代理服務(wù)器,這有助于發(fā)現(xiàn)隱藏的URL和其它的問題。

　　6、修復(fù)支持

　　對(duì)于確定的漏洞,程序提供了相關(guān)的漏洞描述和修復(fù)方案.

　　7、Flash支持

　　Appscan8相對(duì)早期的版本增加了flash支持功能，它可以探索和測(cè)試基于Adobe的Flex框架的應(yīng)用程序，也支持AMF協(xié)議。

　　8、可定制的掃描策略

　　Appscan8配備一套自定義的掃描策略,你可以定制適合你需要的掃描策略。

軟件特色

　　通過使用內(nèi)置的掃描配置向?qū)Й@得一個(gè)快速啟動(dòng)。

　　獲取你的Web應(yīng)用程序和Web服務(wù)的全面的安全評(píng)估。

　　了解漏洞以及如何全面咨詢解決這些問題和解決建議。

　　通信使用詳細(xì)的PDF報(bào)告漏洞開發(fā)團(tuán)隊(duì)。

　　確定不符合行業(yè)規(guī)范的領(lǐng)域。

新版特性

　　1、自動(dòng)動(dòng)態(tài)應(yīng)用程序安全測(cè)試（DAST）和現(xiàn)代Web應(yīng)用程序和服務(wù)的交互式應(yīng)用程序安全測(cè)試（IAST）。

　　2、綜合JavaScript的執(zhí)行引擎支持Web 2.0，JavaScript和AJAX框架。

　　3、SOAP和REST Web服務(wù)測(cè)試，涵蓋了XML和JSON的基礎(chǔ)設(shè)施。支持WS-Security標(biāo)準(zhǔn)，XML加密和XML簽名。

　　4、詳細(xì)的漏洞公告和修復(fù)建議。

　　5、40合規(guī)性報(bào)告，包括支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS），支付應(yīng)用數(shù)據(jù)安全標(biāo)準(zhǔn)（PA-DSS），ISO 27001和ISO 27002，和Basel II。

　　6、定制和擴(kuò)展與IBM安全AppScan的擴(kuò)展框架。

　　7、覆蓋面廣掃描和測(cè)試用于各種應(yīng)用的安全漏洞。

　　8、準(zhǔn)確的掃描和先進(jìn)的檢測(cè)能夠提供更高程度的準(zhǔn)確性。

　　9、快速修復(fù)與優(yōu)先的結(jié)果和修復(fù)建議。

　　10、增強(qiáng)的洞察力與合規(guī)，幫助管理合規(guī)性，并提供了對(duì)關(guān)鍵問題的認(rèn)識(shí)。

新版優(yōu)勢(shì)

　　Flash支持： 8.0 Appscan相對(duì)早期的版本增加了flash支持功能，它可以探索和測(cè)試基于Adobe的Flex框架的應(yīng)用程序，也支持AMF協(xié)議。

　　Glass box testing:：Glass box testing是Appscan中引入的一個(gè)新的功能.這個(gè)過程中，安裝一個(gè)代理服務(wù)器,這有助于發(fā)現(xiàn)隱藏的URL和其它的問題。

　　Web服務(wù)掃描：Web服務(wù)掃描是Appscan中具有有效自動(dòng)化支持的一個(gè)掃描功能。

　　Java腳本安全分析：Appscan中介紹了JavaScript安全性分析,分析抓取html頁面漏洞，并允許用戶專注于不同的客戶端問題和DOM（文檔對(duì)象模型）為基礎(chǔ)的XSS問題。

　　報(bào)告：根據(jù)你的要求，可以生成所需格式的報(bào)告。

　　修復(fù)支持：對(duì)于確定的漏洞,程序提供了相關(guān)的漏洞描述和修復(fù)方案.

　　可定制的掃描策略：Appscan配備一套自定義的掃描策略,你可以定制適合你需要的掃描策略。

　　工具支持：它有像認(rèn)證測(cè)試，令牌分析器和HTTP請(qǐng)求編輯器等,方便手動(dòng)測(cè)試漏洞.

安裝說明

　　要運(yùn)行Appscan的系統(tǒng)至少需要2GB的RAM,同時(shí)確保安裝了.net framwork和Adobe flash來執(zhí)行掃描過程中的Flash內(nèi)容。在進(jìn)一步之前，需要注意的是,這種自動(dòng)掃描器會(huì)發(fā)送數(shù)據(jù)到服務(wù)器,有可能在掃描過程中讓服務(wù)器超過負(fù)荷，所以它可能會(huì)刪除服務(wù)器上的數(shù)據(jù)，添加新記錄甚至讓服務(wù)器崩潰.因此掃描之前最好備份所有的數(shù)據(jù).

　　安裝Appscan之前，關(guān)閉所有打開的應(yīng)用程序。點(diǎn)擊安裝文件，會(huì)出現(xiàn)安裝向?qū)?如果你還沒有安裝.Net framwork，Appscan安裝過程會(huì)自動(dòng)安裝，并需要重新啟動(dòng)。按照向?qū)У闹甘荆梢院苋菀椎耐瓿砂惭b.如果你使用的是默認(rèn)許可，你將只允許掃描appscan中的測(cè)試網(wǎng)站。要掃描自己的網(wǎng)站，需要付費(fèi)購買許可版本.

安裝方法

　　1、下載解壓文件，找到7.8.0.2-AppScan_Setup.exe雙擊安裝

　　2、閱讀協(xié)議，勾選第一項(xiàng)接受

　　3、選擇安裝位置C:Program Files (x86)IBMAppScan Standard

　　4、正在安裝，請(qǐng)稍后

　　5、安裝完成

使用方法

　　1、開始掃描,啟動(dòng)Appscan，你會(huì)看到如圖所示的歡迎屏幕.點(diǎn)擊”Create New Scan” 開始掃描一個(gè)新的Web應(yīng)用程序

　　2、選擇一個(gè)適合你要求的掃描模板。模板包括已經(jīng)定義好的掃描配置.選擇一個(gè)模板后會(huì)出現(xiàn)配置向?qū)?。它?huì)問你選擇的掃描類型，選擇”Web Application Scan”，然后點(diǎn)擊Next

　　掃描配置向?qū)窃摴ぞ叩暮诵牟糠?使用設(shè)置向?qū)?，?huì)讓Appscan知道的需求,其中有很多可供的需求選擇.

　　3、URL and Servers(URL和服務(wù)器)

　　Starting URL(起始網(wǎng)址)：此功能指定要掃描的起始網(wǎng)址.在大多數(shù)情況下，這將是該網(wǎng)站的登陸頁面.選擇http://demo.testfire.net這個(gè)演示站來測(cè)試Web應(yīng)用程序漏洞.如果你想限制只掃描到這個(gè)目錄下的鏈接,選中該復(fù)選框.

　　Case Sensitive Path(大小寫的選擇):如果你的服務(wù)器URL有大小寫的區(qū)別,選擇此項(xiàng)。對(duì)大小寫的區(qū)別取決于服務(wù)器的操作系統(tǒng),Linux/Unix中對(duì)大小寫是敏感的,而Windows是沒有的.

　　4、Login Management(登陸管理)

　　在掃描的過程中，可能會(huì)不小心碰到退出按鈕導(dǎo)致Appscan注銷.因此,要登陸到應(yīng)用程序中,我們需要根據(jù)本條中的設(shè)置。

　　Recorded(記錄):選擇此項(xiàng)后,會(huì)出現(xiàn)一個(gè)新的瀏覽器，并嘗試鏈接到指定的網(wǎng)站作為本掃描的起始URL.你需要輸入賬號(hào)和密碼登陸到應(yīng)用程序.這樣設(shè)置之后你可以關(guān)閉瀏覽器，但是不要點(diǎn)擊注銷按鈕.有時(shí)候你會(huì)發(fā)現(xiàn)打開的瀏覽器不是IE或者M(jìn)ozilla，而是Appscan瀏覽器.你可以改變通過設(shè)置來改變這個(gè).Tools–>Options –>Advanced,設(shè)置OpenIEBrower的值0–Appscan瀏覽器,1–IE,2–Firefox,3–Chrome.如果該網(wǎng)站的行為在不同的瀏覽器下有所不同,這個(gè)設(shè)置將是非常有用的.

　　5、Prompt(提示):每次注銷之后,Appscan會(huì)提示你登陸到應(yīng)用程序中.如果你打算整個(gè)掃描你的系統(tǒng)，你可以選擇這個(gè)選項(xiàng).

　　Automatic(自動(dòng))：在這里你可以直接指定用戶名和密碼,當(dāng)你需要登陸到應(yīng)用程序的時(shí)候.

　　6、Test Policy

　　根據(jù)你的測(cè)試策略,你需要選擇最適合你需求的策略,現(xiàn)有的策略都是默認(rèn)的,僅應(yīng)用和基礎(chǔ)設(shè)置，侵入性的，完整的，關(guān)鍵的少數(shù)等等.其中大多是使用現(xiàn)有的策略.如果你不希望在登陸時(shí)發(fā)送測(cè)試和注銷頁面，你可以選擇該選項(xiàng)。

　　7、Complete

　　這是開始掃描的最后一步.IBM Rational Appscan允許你選擇你想要的掃描方式，即完成掃描,探索掃描等.

　　Start a full automatic sacn(開始一個(gè)完整的自動(dòng)掃描):隨著前面創(chuàng)建的配置,Appscan將開始探索和測(cè)試階段.

　　Start with automatic explore only(開始探索掃描):Appscan只會(huì)探索應(yīng)用程序，但不發(fā)送攻擊.

　　Start with manual explore(開始手動(dòng)探索):瀏覽器將被打開,你可以手動(dòng)瀏覽器應(yīng)用程序.

　　當(dāng)你想做出更多的更改掃描配置,你可以選擇最后一個(gè)選項(xiàng)”i will start scan later”.

　　在我們開始之前,我們有很重要的事情要做,它是Appscan的心臟和靈魂-“Full scan Configuration(全局掃描配置)”窗口.讓我們明白為什么它在掃描任意應(yīng)用程序的時(shí)候那么重要.

　　8、Full Scan Configuration

　　在下圖中，有四個(gè)主要的部分–探索，鏈接，測(cè)試和一般，讓我們看看具體的細(xì)節(jié)：

　　Explore

　　URL and Servers(URL和服務(wù)器): 掃描的URL和額外的服務(wù)器鏈接的處理.

　　Login Management(登陸管理):除了登陸方法,如果你想在Appscan同時(shí)登陸，通過這個(gè)可以指定.這將減少總的掃描時(shí)間.你還可以指定正則表達(dá)式檢測(cè)注銷頁.

　　9、Environment Definition(環(huán)境的定義):在此設(shè)置下，你可以指定操作系統(tǒng),Web服務(wù)器,數(shù)據(jù)庫服務(wù)器,以及其它第三方組件,它可以幫助你提高掃描的精度和性能。

　　10、Test Options(測(cè)試選項(xiàng)):這個(gè)部分你可以選擇適合的測(cè)試選項(xiàng).Appscan發(fā)送大量的測(cè)試，需要花費(fèi)大量的時(shí)間.但是選擇適性測(cè)驗(yàn),Appscan會(huì)嘗試發(fā)送,以確定是適當(dāng)?shù)臏y(cè)試.它可以檢測(cè)到服務(wù)器是IIS,然后只發(fā)送其中針對(duì)IIS的脆弱性檢測(cè)測(cè)試,而不會(huì)檢查其它服務(wù)器有關(guān)的問題.

　　Privilege Escalation(特權(quán)升級(jí)):你可以上傳不同權(quán)限的用戶或未經(jīng)授權(quán)的用戶掃描的掃描文件。

　　Scan Expert(掃描專家):掃描專家提出了建議，以更好的掃描應(yīng)用程序。

　　點(diǎn)擊OK，將回到最初的掃描向?qū)Т翱?選擇”start a full automatic sacn”,單擊”finish”。完成配置過程，開始Appscan掃描.下一篇文章中，我們將探討有關(guān)Appscan掃描結(jié)果分析.

使用說明

　　探索和測(cè)試階段：

　　在我們開始掃描之前，讓我們對(duì)Appscan的工作做一個(gè)了解.任何自動(dòng)化掃描器都有兩個(gè)目標(biāo)：找出所有可用的鏈接和攻擊尋找應(yīng)用程序漏洞。

　　探索(Explore):

　　在探索階段，Appscan試圖遍歷網(wǎng)站中所有可用的鏈接，并建立一個(gè)層次結(jié)構(gòu)。它發(fā)出請(qǐng)求，并根據(jù)響應(yīng)來判斷哪里是一個(gè)漏洞的影響范圍。例如，看到一個(gè)登陸頁面，它會(huì)確定通過繞過注入來通過驗(yàn)證.在探索階段不執(zhí)行任何的攻擊，只是確定測(cè)試方向.這個(gè)階段通過發(fā)送的多個(gè)請(qǐng)求確定網(wǎng)站的結(jié)構(gòu)和即將測(cè)試的漏洞范圍。

　　測(cè)試(Test)：

　　在測(cè)試階段,Appscan通過攻擊來測(cè)試應(yīng)用中的漏洞.通過釋放出的實(shí)際攻擊的有效載荷，來確定在探索階段建立的安全漏洞的情況.并根據(jù)風(fēng)險(xiǎn)的嚴(yán)重程度排名。

　　在測(cè)試階段可能回發(fā)現(xiàn)網(wǎng)站的新鏈接，因此Appscan在探索和測(cè)試階段完成之后會(huì)開始另一輪的掃描，并繼續(xù)重復(fù)以上的過程，直到?jīng)]有新的鏈接可以測(cè)試。掃描的次數(shù)也可以在用戶的設(shè)置中配置.

　　對(duì)于IBM安全AppScan的標(biāo)準(zhǔn)詳細(xì)系統(tǒng)要求

　　始終保持最新的系統(tǒng)需求報(bào)告可以動(dòng)態(tài)地使用生成的軟件產(chǎn)品兼容性報(bào)告（SPCR）工具。

　　為方便起見，標(biāo)簽下方標(biāo)識(shí)的受支持的版本IBM安全AppScan的標(biāo)準(zhǔn)，從中可以選擇不同的背景下詳細(xì)的系統(tǒng)需求報(bào)告（由操作系統(tǒng)，通過組件）。需要注意的是點(diǎn)擊一個(gè)鏈接總是會(huì)生成一個(gè)新的，先進(jìn)的最新報(bào)告。

　　注：AppScan的標(biāo)準(zhǔn)僅在Windows操作系統(tǒng)上運(yùn)行。如果使用玻璃盒掃描，玻璃箱代理必須測(cè)試的應(yīng)用程序的服務(wù)器上安裝（Java和.NET平臺(tái)支持）。其他（非Windows）系統(tǒng)列出的系統(tǒng)要求僅適用于安裝了此玻璃盒代理服務(wù)器。

更新日志

　　1.“配置”對(duì)話框的“登錄管理”視圖已更新，并且添加了一個(gè)新的選項(xiàng)卡，從而支持更高效的會(huì)話管理：

　　2.基于操作的登錄（在瀏覽器中重現(xiàn)用戶實(shí)際操作，而不僅是請(qǐng)求）現(xiàn)在將顯示在用戶界面中，而您可以觀看瀏覽器中回放的序列

　　3.登錄序列以兩種形式進(jìn)行記錄：基于操作（用戶“單擊”）和基于請(qǐng)求，這兩種形式都可通過已更新的“詳細(xì)信息”選項(xiàng)卡進(jìn)行管理（缺省情況下，將使用對(duì)于應(yīng)用程序最高效的形式）

　　4.對(duì)所記錄登錄的問題的更簡(jiǎn)單故障診斷

　　5.新的“驗(yàn)證”功能在掃描期間實(shí)時(shí)回放登錄序列，跟蹤 cookie，檢測(cè)最終響應(yīng)中的會(huì)話中模式，并極大地改進(jìn)會(huì)話中維護(hù)

　　“排除和例外”現(xiàn)在可應(yīng)用于特定參數(shù)

　　您現(xiàn)在可從掃描中排除包含特定參數(shù)甚至特定參數(shù)值的 URL。這對(duì)于 megascript 應(yīng)用程序（包含在 URL 中并且由其參數(shù)控制的應(yīng)用程序）特別有用。