IBM AppScan工具安全漏洞扫描的操作流程
刚入职新公司不久,技术总监要求我对现有的几个项目进行安全漏洞测试,不懂安全漏洞测试的我,快快地百度下,后来发现IBM AppScan工具挺适合我们现项目的测试需求,经过学习一段时间,赶鸭子式的运用该工具完成了项目的安全漏洞测试。现做下简单的总结如下:
此流程是采用最简单的流程:扫描配置-》手动探索-》完全扫描-》保存报告
1、打开AppScan软件,在菜单栏【文件】下拉选项中,选择“新建”,弹出如下图的对话框,去掉“启动扫描配置向导”,选择“综合扫描”,完成要使用的模板选择。
2、接着点击工具栏上的【配置】按钮,弹出配置对话框,如下图,要填写“从该URL启动扫描”的被测系统网址,若输入的网址是定位到具体工程的,那就不要勾选上“仅扫描此目录中或目录下的链接”,点击【确定】,完成扫描配置。
3、接着点击工具栏上的【手动探索】按钮,通过浏览器跳转到被测系统的登录界面,你可以操作一遍你要测试的功能模块,关闭浏览器后,会获取到你操作的链接地址加载到如下图的对话框里,选择“添加所有”,点击【确定】,。
4、确定后,会要自动扫描下
5、等待自动扫描后,左边程序树会有增加程序节点,如下图:
6、接着点击工具栏的【扫描】下拉选项的“继续完全扫描”,弹出如下图的对话框,选择“是”,弹出保存文件对话框,选择保存文件目录,点击【保存】,可以保存该扫描项目,方便以后的重复扫描使用。
7、保存后,开始完全扫描,界面如下图所示:
8、等待完全扫描完成后,界面如下图。扫描完成后,再次在菜单栏的【文件】下拉选项中选择“保存”,主要是保存下扫描后的扫描结果,方便以后重复扫描使用。
9、最后一步,点击工具栏上的【报告】按钮,弹出对话框的界面如下图,把红色框的项目都勾选,点击【保存报告】,弹出选择存放报告目录的对话框,点击【保存】,就可以保存报告啦!
10、保存报告的格式是PDF格式,打开可见下图的综合安全报告。就这样整个安全漏洞扫描流程完成了。报告中的问题类型是“高”和“中”,一般都要求开发人员解决后才能让系统上线的。
