很多公司对软件会有安全的要求,一般测试公司会使用安全漏洞扫描工具对软件进行漏扫,然后给出安全报告,然后软件开发人员会根据提供的安全报告进行漏洞的处理。我们接触到的测评公司,使用的是漏洞扫描工具AppScan,这里介绍一下AppScan的安装使用,以及安全报告的生成。
1漏扫工具AppScan的下载和安装
1.1 AppScan的下载
利用百度搜索Appscan,可以找到对应的资源,下载后,一般是压缩文件,大概500M左右,现在的版本是10.0,旧一些的版本9.0也可以,文件大小差不多。文件解压后,有一个安装文件,还有资料。以10.0.0版本为例,安装文件为AppScan_Setup_10.0.0.exe,文件在文件夹AppScanStdCrk中。
打开AppScanStdCrk之后,里面有文件,AppScanStandard.txt和rcl_rational.dll。
1.2 AppScan的安装
以管理员权限运行AppScan_Setup_10.0.0.exe,进行默认安装,通过一直点击下一步,可以完成安装。
安装后进行软件的操作。
将rcl_rational.dll复制保存到软件的安装目录C:Program Files (x86)HCLAppScan Standard中。
然后打开软件,选择帮助—许可证,点击下方的切换到IBM许可证,在新弹出的页面点击“打开AppScan License Manager”,然后在弹出的页面点击右上方的许可证配置,点击+号,
选择文件AppScanStandard.txt,导入文件,导入成功后确定。
通过替换文件,以及导入文本,软件安装成功,软件信息如下所示。
2 AppScan的漏洞扫描过程
利用工具AppScan进行漏扫,可以自动化的对某个网站进行漏洞扫描。
比如对某个网站进行漏扫,首先点击文件—新建,选择扫描Web应用程序,然后会出现扫描配置向导。第一步确认起始URL,在文本输入栏输入要扫描的网址或网站IP,点击下一步。
第二步是进行登录管理的设置。可以选择默认的记录方式登录到应用程序,点击记录,选择chrome(比较常用),进行登录操作,这时候工具会记录下来登录信息。然后点击下一步。
第三步进行测试策略的选择,上方有测试策略的选择框,下方左侧是策略的列表,下方右侧是对测试策略的说明。
第四步是测试优化的选择。
最后一步是选择启动扫描的方式,默认是启动全面自动扫描,点击完成后,工具开始漏洞扫描。也可以选择“我将稍后启动扫描”,进行策略配置后,再进行扫描工作。
启动扫描后,等待扫描任务完成。
3安全报告的生成
扫描完成之后,会在软件的页面显示相应的扫描结果信息,可以通过点击对应的信息点直接查看漏洞情况。
也可以生成pdf格式的安全报告,提交给相应的人员,以便进一步的处理。点击菜单下面的工具栏的报告。
在创建报告的页面选择安全性,然后可以选择一个模板,右侧会显示模板中包含的内容,选择详细模板,基本上会包含绝大部分内容,也可以直接在右侧勾选内容。
选择完成后,点击保存报告,则会生成pdf安全报告。
4 结语
该部分主要对AppScan的安装、漏洞扫描以及报告生成进行了说明,是一个简易的操作描述,如果对漏洞扫描有特别要求,还需要进行测试策略的详细配置,在配置工具栏,可以看到详细的策略配置信息,后续还要介绍安全测试报告的分析,以及对应漏洞的处理。