AppScan是IBM公司研發的一款Web與移動應用安全測試的工具,能提高Web應用安全性和移動應用安全性。通過在部署之前掃描Web和移動應用,檢測Web和移動應用安全性, AppScan掃描完成後,能夠根據掃描結果生成報告並給予修復建議。
【案例:ECShop安全測試實施】
(1) 啓動AppScan,如圖1所示,創建一個新的掃描,如果已經存在掃描方案,可直接打開。
圖1 啓動AppScan
(2) 選擇“常規掃描”,一般測試時選擇這個模板,當然也可以根據實際需要自定義掃描策略。
圖2 選擇掃描模板
(3) 使用“配置嚮導”,配置掃描策略。本次進行ECShop平臺安全掃描,選擇“Web應用程序掃描”。
圖3 配置掃描策略
(4) 設置待掃描的Web系統URL,勾選“僅掃描此目錄下或目錄下的鏈接”,其他默認設置,如圖4所示。
圖4 設置掃描網站URL
(5) 如果僅僅是針對普通網站掃描,則無須登陸系統,但有很多操作需要登陸後才能執行,因此需設置登陸帳號,此處模擬註冊用戶登陸後訪問每個鏈接以及執行相關購買操作。可使用“記錄”、“提示”、“自動”等形式,筆者建議使用“記錄”方式,該方式使用錄製的方式自動記錄帳號驗證過程,類似於BadBoy軟件。點擊【記錄】按鈕,進行用戶登陸過程錄製。
圖5 設置登陸帳號設置方式
(6) 啓動錄製過程,進入ECShop首頁,如圖6所示。
圖6 錄製用戶登陸-進入首頁
(7) 輸入用戶名及密碼,與常規登陸操作相同。
圖7 錄製用戶登陸-輸入帳號信息
(8) 登陸成功後,退出系統。
圖8 錄製用戶登陸過程一登陸成功
(9) AppScan生成登陸數據進程,此時不可取消。
圖9 生成登陸數據進程
(10) 自動生成登陸數據,生成成功後的界面如圖10所示,點擊【下一步】按鈕,選擇測試策略。
圖10 成功生成登陸數據
(11) 選擇安全測試策略,通常選擇缺省值。缺省值中以包括常規的HTTP響應、SQL注入、跨站點腳本攻擊等安全測試策略。
圖11 選擇測試策略
(12) 設置啓動掃描方式,AppScan默認提供了4種方式。“全面自動掃描”表示策略配置完成,將開始全面掃描,全面掃描包括兩個部分,一是探索,二是測試。AppScan在測試之前,需先進行網站結構掃描,只有掃描獲得Web架構後才能進行測試。測試則進行安全策略應用,開展實際測試活動。一般選擇“啓動全面自動掃描”,除非需自定義。本次測試選擇“啓動全面自動掃描”,點擊【完成】按鈕,完成掃描配置嚮導。
圖12 設置掃描方式
(13) 啓動掃描時,AppScan提示是否保存本次掃描配置,點擊【是】,保存本次掃描配置。
圖13保存掃描配置提示
(14) AppScan掃描進行中,掃描結果在最下面的狀態欄顯示。
圖14 AppScan掃描界面
(15) 掃描完成導出測試報告,AppScan輸出結果爲PDF格式。結果報告中詳細列出本次安全測試結果,測試工程師可對這些進行確認,彙報。
圖15 ECShop平臺安全問題列表
圖16 引發安全問題的原因