通过在部署之前扫描Web和移动应用，检测Web和移动应用安全性， AppScan扫描完成后，能够根据扫描结果生成报告并给予修复建议。

 

AppScan是IBM公司研发的一款Web与移动应用安全测试的工具，能提高Web应用安全性和移动应用安全性通过在部署之前扫描Web和移动应用，检测Web和移动应用安全性， AppScan扫描完成后，能够根据扫描结果生成报告并给予修复建议。

【案例：ECShop安全测试实施】（1） 启动AppScan，如图1所示，创建一个新的扫描，如果已经存在扫描方案，可直接打开。

图1 启动AppScan（2） 选择“常规扫描”，一般测试时选择这个模板，当然也可以根据实际需要自定义扫描策略。

图2 选择扫描模板（3） 使用“配置向导”，配置扫描策略。本次进行ECShop平台安全扫描，选择“Web应用程序扫描”。

图3 配置扫描策略（4） 设置待扫描的Web系统URL，勾选“仅扫描此目录下或目录下的链接”，其他默认设置，如图4所示。

图4 设置扫描网站URL（5） 如果仅仅是针对普通网站扫描，则无须登陆系统，但有很多操作需要登陆后才能执行，因此需设置登陆帐号，此处模拟注册用户登陆后访问每个链接以及执行相关购买操作可使用“记录”、“提示”、“自动”等形式，笔者建议使用“记录”方式，该方式使用录制的方式自动记录帐号验证过程，类似于BadBoy软件。

点击【记录】按钮，进行用户登陆过程录制

图5 设置登陆帐号设置方式（6） 启动录制过程，进入ECShop首页，如图6所示。

图6 录制用户登陆-进入首页（7） 输入用户名及密码，与常规登陆操作相同。

图7 录制用户登陆-输入帐号信息（8） 登陆成功后，退出系统。

图8 录制用户登陆过程一登陆成功（9） AppScan生成登陆数据进程，此时不可取消。

图9 生成登陆数据进程（10） 自动生成登陆数据，生成成功后的界面如图10所示，点击【下一步】按钮，选择测试策略。

图10 成功生成登陆数据（11） 选择安全测试策略，通常选择缺省值。缺省值中以包括常规的HTTP响应、SQL注入、跨站点脚本攻击等安全测试策略。

图11 选择测试策略（12） 设置启动扫描方式，AppScan默认提供了4种方式“全面自动扫描”表示策略配置完成，将开始全面扫描，全面扫描包括两个部分，一是探索，二是测试AppScan在测试之前，需先进行网站结构扫描，只有扫描获得Web架构后才能进行测试。

测试则进行安全策略应用，开展实际测试活动一般选择“启动全面自动扫描”，除非需自定义本次测试选择“启动全面自动扫描”，点击【完成】按钮，完成扫描配置向导

图12 设置扫描方式（13） 启动扫描时，AppScan提示是否保存本次扫描配置，点击【是】，保存本次扫描配置。

图13保存扫描配置提示（14） AppScan扫描进行中，扫描结果在最下面的状态栏显示。

图14 AppScan扫描界面（15） 扫描完成导出测试报告，AppScan输出结果为PDF格式。结果报告中详细列出本次安全测试结果，测试工程师可对这些进行确认，汇报。

图15 ECShop平台安全问题列表

图16 引发安全问题的原因

免责声明：本站所有信息均搜集自互联网，并不代表本站观点，本站不对其真实合法性负责。如有信息侵犯了您的权益，请告知，本站将立刻处理。联系QQ：1640731186