AppScan安装配置及扫描
原理
AppScan 全面扫描包括两个步骤,“探索”和“测试”:
“探索”阶段:在此阶段中,会探索站点并构造应用程序树,AppScan 会分析它所发送的每个请求的响应,查找潜在漏洞的任何提示信息。AppScan 接收到可能指示有安全漏洞的响应时,它将自动创建测试,并记录验证规则。
“测试”阶段:本阶段中,AppScan 会发送其在“探索”阶段创建的上千条定制测试请求。它会记录和分析应用程序的响应,以识别安全问题并将其按安全风险的级别进行排名。
“扫描”阶段:实践中,“测试”阶段会频繁显示站点内的新链接和更多潜在的安全风险。因此,完成“探索”和“测试”的第一个“阶段”后,AppScan 将自动开始一个新 的阶段,以处理新的信息
部署环境
专业版本与企业版本
Win7+Microsoft .NET Framework 4.5 +AppScan 安 装 (http://www.ibm.com/developerworks/cn/downloads/r/appscan/)
安装步骤
点击应用程序
安装框架和环境()
关闭调用互联网上接口的提示
把补丁中文件拖出,dll文件替换掉安装目录下的文件
打开ASL ,右上角在许可证中管理导入AppScanstandard.txt作为许可证
使用
新建扫描部署配置
URL和服务器
添加站点连接成功
若选中仅扫描此目录中或目录下的连接,则不扫描第三方
登录管理
(需要登录名密码时自动调用已经存好的)
记录
自动
提示
无
有很多工具搞不定验证码等需要登录的操作
测试策略
缺省策略就可以
测试优化
正常
完成
有时候部署之后需要等待时间可以选稍后扫描
注意!!!!
工作量大时,可能崩溃
采用保存方式,自动保存扫描结果,可以下次导入使用
缺点
文件能耗大
国内漏洞支撑力度不过强大
扫描速度比较慢
优点
漏洞验证比较人性化
多线程运行
对于通用型漏洞检测能力好
许可证
AppScan 安装中包含一个缺省许可证,此许可证允许扫描 IBM 定制设计的测试站点(demo.testfire.net),但不允许扫描其他站点,为了扫描自己的站点,您必须安装
IBM 提供的有效许可证。有三种类型的许可证:
浮动许可证
令牌许可证
节点锁定许可证
安装过程要关闭任何已打开的 Microsoft Office 应用程序
扫描报告可以根据需求设置
APPSCAN安装中出现的问题
不知道为什么我的应用程序不能自动安装所需要的两个环境
一个是.net框架 一个是VC++2017 ,所以我都进行了手动安装,
在.net框架安装中,还需要一个自己手动添加证书
具体方法我是参考博客园的文章
如下:
在“运行“中输入 MMC 打开控制台,打开后 按crtl+M组合键打开添加删除管理单元,在左侧列表中打开 “证书” 项,让后选择“计算机账户” 下一步,“本地计算机” 点 “完成”, 然后控制台上出现 “证书”项,在其树状目录找到 “信任的根证书…”右击 ,“导入” 选择你的证书。
这里需要的证书我都放在一个文件下了,一会儿上传。
