工作流程描述

AppScan 提供 Web 应用程序的全面评估。它将基于所有级别的典型用户技术以及未授权访问和代码注入运行数千项测试。

当对应用程序运行扫描时,测试会通过 AppScan 发送到 Web 应用程序。测试结果由 AppScan 的站点智能引擎提供,并会产生各种可用于增强复审和操纵的报告与修订建议。

AppScan 是一种交互式工具:您决定扫描的配置并确定要对结果进行的处理。

AppScan 工作流程包含下列阶段:

  1. 选择模板:预定义的扫描配置即是扫描模板。您可以装入“常规扫描”模板,其他预定义模板,或者先前已保存的模板。(您可以稍后按照要求为当前扫描调整配置。)
  2. 应用程序或 Web Service 扫描:扫描 Web Service 要求用户进行一些手动输入,以向 AppScan 说明如何使用此服务。
    • AppScan:如果您扫描的不是 Web Service,或者如果您要扫描应用程序中其 Web Service 以外的部分,请保留此缺省选项的选中状态。
    • 外部设备/客户机:,请选择该选项。您将把 AppScan 配置为记录代理,并通过 AppScan 从外部客户机发送请求。
  3. 扫描配置:配置扫描,将站点、环境以及其他需求的详细信息考虑在内。
  4. (可选)手动探索:登录到站点,然后单击链接并像用户那样填写表单。这是一个很好的方法来向 AppScan“展示”典型用户如何浏览站点,从而确保扫描站点的重要部分并提供用于填写表单的数据。
  5. (可选)运行 Scan Expert:这是对您的站点的一个简短预扫描,以评估配置。Scan Expert 可能会建议进行更改以提高主扫描的效率。
  6. 扫描应用程序或服务:这是主扫描,由探索和测试阶段组成。

    探索阶段: AppScan搜寻您的站点(像一般用户那样访问链接),并记录响应。它将创建在您应用程序上所找到的 URL、目录和文件等的层次结构。此列表会显示在应用程序树中(请参阅应用程序树)。

    探索阶段可自动完成、手动完成或以两种方式的组合方式完成。此外,您还可以导入探索数据文件(请参阅导出“手动探索”数据),此文件由以前记录的手动探索序列组成。 AppScan 随后分析其从站点收集的数据,并且根据这些数据为站点创建测试。这些测试旨在揭露基础结构(例如第三方商品或因特网系统中的安全漏洞)的弱点和应用程序自身的弱点。

    测试阶段:在测试阶段中,AppScan 会根据其在探索阶段中接收到的响应来测试您的应用程序,以揭露漏洞并评估其严重性。

    可以在“扫描配置”对话框中查看当前版本的 AppScan 中包含的所有测试的最新列表(请参阅“测试策略”视图)。

    AppScan 自动创建和运行的测试外,您还可以创建用户定义的测试(请参阅用户定义的测试)。您的测试可对 AppScan 生成的测试进行补充,并且可以验证其发现的结果。

    测试结果会显示在结果列表中,您可以从中对其进行查看和修改。结果的完整详细信息会显示在“详细信息”窗格中。

  7. (可选)运行恶意软件测试:这将分析站点上找到的页面和链接是否包含恶意内容和其他不需要的内容。
    注: 尽管恶意软件测试原则上可在此阶段执行(在此情况下将使用主扫描的探索阶段结果),但在实践中,恶意软件测试通常在实时站点上运行,而常规扫描通常在测试站点上运行(因为扫描实时站点存在将其中断的风险)。
  8. 复审结果用于评估站点的安全状态。您可能还需要执行以下操作:
    • 手动探索其他链接
    • 复审修复任务
    • 打印报告
    • 根据您对结果的复审,在必要的情况下调整扫描配置,然后再次扫描
注: 有关此工作流程的简化图解,请参阅基本工作流程