工作流程说明:
- AppScan提供对 Web 应用程序的全面评估。它基于所有级别的典型用户技术以及未经授权的访问和代码注入运行数千次测试。
- 当您对应用程序运行扫描时,AppScan 会将测试发送到您的 Web 应用程序。测试结果由 AppScan 的站点智能引擎提供,并生成大量报告和修复建议,可用于增强审查和操作。
- AppScan是一种交互式工具:您决定扫描的配置并确定要对结果执行的操作。
该AppScan的工作流程包括以下几个阶段:
- 选择模板:
预定义的扫描配置是扫描模板。您可以加载常规扫描模板、另一个预定义模板或您之前保存的模板。(您可以稍后根据当前扫描的需要调整配置。)
- 应用程序或 Web 服务扫描:
扫描 Web 服务需要用户进行一些手动输入,以显示AppScan如何使用该服务。
-
- AppScan的:如果你不扫描web服务,或者如果你想申请的扫描部分其他比它的网络服务,请选择此默认选项。
- 外部设备/客户端:如果要扫描服务,请选择此选项。您将 AppScan 配置为记录代理,并通过 AppScan 从您的外部客户端发送请求。
- 扫描配置:
配置扫描,同时考虑您的站点、环境和其他要求的详细信息。
- (可选)手动探索:
登录站点,然后单击链接并像用户一样填写表单。这是“展示” AppScan典型用户如何浏览站点、确保站点的重要部分被扫描并提供用于填写表单的数据的好方法。
- (可选)运行扫描专家:
这是对您站点的简短预扫描以评估配置。扫描专家可能会建议更改以提高主扫描的效率。
- 扫描应用程序或服务:
这是主扫描,由探索和测试阶段组成。
探索阶段:
-
- AppScan抓取您的站点,像普通用户一样访问链接并记录响应。它创建了在您的应用程序中找到的 URL、目录、文件等的层次结构。此列表显示在应用程序树中。
- 探索阶段可以自动、手动或两者结合完成。您还可以导入探索数据文件,其中包含先前记录的手动探索序列。AppScan然后分析它从站点收集的数据,并基于它为站点创建测试。这些测试旨在揭示基础设施中的弱点(例如商业、第 3 方产品或 Internet 系统中的安全弱点)和应用程序本身。
测试阶段:
-
- 在测试阶段,AppScan根据它在探索阶段收到的响应来测试您的应用程序,以揭示漏洞并评估其严重性。
- 可以在“扫描配置”对话框中看到包含在当前AppScan版本中的所有测试的最新列表。除了AppScan 自动创建和运行的测试之外,您还可以创建用户定义的测试。您的测试可以补充AppScan生成的测试,并且可以验证它找到的结果。测试结果显示在结果列表中,您可以从中查看和修改它们。结果的完整详细信息显示在详细信息窗格中。
- 查看结果:以评估站点的安全状态。
-
- 手动探索其他链接
- 查看修复任务
- 打印报告
- 如有必要,根据您对结果的审查调整扫描配置,然后再次扫描