Web 应用程序自动扫描工作流程

提供一个简单的工作流程来自动扫描 Web 应用程序。

AppScan 提供 Web 应用程序的全面评估。它基于所有级别的典型用户技术(包括未经授权的访问和代码注入)运行数千个测试。

当对应用程序运行扫描时,测试会通过 AppScan 发送到 Web 应用程序。测试结果由 AppScan 的站点智能引擎提供,并会产生各种可用于增强复审和操纵的报告与修订建议。

AppScan 是一种交互式工具:您决定扫描的配置并确定要对结果进行的处理。

显示简单 Web 应用程序自动扫描工作流程的图表。

对于具有 Web 安全领域经验的用户,请参阅 高级用户的工作流程

工作流程描述

  1. 扫描配置:通过配置 > Web 基本配置来配置扫描,同时将站点、环境以及其他需求的详细信息考虑在内:
    1. 输入起始 URL:指定扫描的起始 URL。
    2. 录制登录:捕获登录过程以确保扫描经过身份验证的页面。
    3. (可选)复审测试策略:根据 Web 应用程序选择测试策略。

  2. 启动全面扫描:启动全面扫描。

  3. 自动扫描包括探索阶段和测试阶段。
    1. 探索阶段:AppScan 会对您的站点进行爬网(像一般用户那样访问链接),并记录响应。它将创建在您应用程序上所找到的 URL、目录和文件等的层次结构。此列表会显示在应用程序树中(请参阅应用程序树)。
      注: 探索阶段可自动完成、手动完成或以两种方式的组合方式完成。此外,您还可以导入探索数据文件(请参阅导出“手动探索”数据),此文件由以前记录的手动探索序列组成。AppScan 随后分析其从站点收集的数据,并且根据这些数据为站点创建测试。这些测试旨在揭露基础结构(例如第三方商品或因特网系统中的安全漏洞)的弱点和应用程序自身的弱点。

    2. 测试阶段:在测试阶段中,AppScan 会根据其在探索阶段中接收到的响应来测试您的应用程序,以揭露漏洞并评估其严重性。

      可以在“扫描配置”对话框中查看当前版本的 AppScan 中包含的所有测试的最新列表(请参阅测试策略和优化)。

      AppScan 自动创建和运行的测试外,您还可以创建用户定义的测试(请参阅用户定义的测试)。您的测试可对 AppScan 生成的测试进行补充,并且可以验证其发现的结果。

      测试结果会显示在结果列表中,您可以从中对其进行查看和修改。结果的完整详细信息会显示在“详细信息”窗格中。

  4. 扫描后活动:

    1. 复审结果:分析扫描结果,并根据您对结果的复审,在必要的情况下调整扫描配置,然后再次扫描。

    2. 复审修复建议:评估并应用建议的修复来解决已识别的漏洞。
    3. 手动探索链接:手动检查任何需要进一步调查的链接。
    4. 生成报告:根据扫描结果创建详细报告。
注: AppScan 凭借其自动扫描功能,可同时支持手动探索导入已记录的流量,提供了一种全面的安全性评估方法。