zoukankan      html  css  js  c++  java
  • 2. AppScan工作流程

    工作流程说明:
    • AppScan提供对 Web 应用程序的全面评估。它基于所有级别的典型用户技术以及未经授权的访问和代码注入运行数千次测试。
    • 当您对应用程序运行扫描时,AppScan 会将测试发送到您的 Web 应用程序。测试结果由 AppScan 的站点智能引擎提供,并生成大量报告和修复建议,可用于增强审查和操作。
    • AppScan是一种交互式工具:您决定扫描的配置并确定要对结果执行的操作。
     
    该AppScan的工作流程包括以下几个阶段:
    • 选择模板
        预定义的扫描配置是扫描模板。您可以加载常规扫描模板、另一个预定义模板或您之前保存的模板。(您可以稍后根据当前扫描的需要调整配置。)
     
    • 应用程序或 Web 服务扫描
        扫描 Web 服务需要用户进行一些手动输入,以显示AppScan如何使用该服务。
      • AppScan的:如果你不扫描web服务,或者如果你想申请的扫描部分其他比它的网络服务,请选择此默认选项。
      • 外部设备/客户端:如果要扫描服务,请选择此选项。您将 AppScan 配置为记录代理,并通过 AppScan 从您的外部客户端发送请求。
    • 扫描配置
        配置扫描,同时考虑您的站点、环境和其他要求的详细信息。
    • 可选)手动探索
        登录站点,然后单击链接并像用户一样填写表单。这是“展示” AppScan典型用户如何浏览站点、确保站点的重要部分被扫描并提供用于填写表单的数据的好方法。
     
    • (可选)运行扫描专家:
        这是对您站点的简短预扫描以评估配置。扫描专家可能会建议更改以提高主扫描的效率。
     
    • 扫描应用程序或服务
        这是主扫描,由探索和测试阶段组成。
        探索阶段:
      • AppScan抓取您的站点,像普通用户一样访问链接并记录响应。它创建了在您的应用程序中找到的 URL、目录、文件等的层次结构。此列表显示在应用程序树中。
      • 探索阶段可以自动、手动或两者结合完成。您还可以导入探索数据文件,其中包含先前记录的手动探索序列。AppScan然后分析它从站点收集的数据,并基于它为站点创建测试。这些测试旨在揭示基础设施中的弱点(例如商业、第 3 方产品或 Internet 系统中的安全弱点)和应用程序本身。
        测试阶段:
      • 在测试阶段,AppScan根据它在探索阶段收到的响应来测试您的应用程序,以揭示漏洞并评估其严重性。
      • 可以在“扫描配置”对话框中看到包含在当前AppScan版本中的所有测试的最新列表。除了AppScan 自动创建和运行的测试之外,您还可以创建用户定义的测试。您的测试可以补充AppScan生成的测试,并且可以验证它找到的结果。测试结果显示在结果列表中,您可以从中查看和修改它们。结果的完整详细信息显示在详细信息窗格中。
    • 查看结果:以评估站点的安全状态。
      • 手动探索其他链接
      • 查看修复任务
      • 打印报告
      • 如有必要,根据您对结果的审查调整扫描配置,然后再次扫描
    本人测试相关学习知识:https://github.com/langlixiaobailongqaq
  • 相关阅读:
    解决首次在eclipse中使用maven构建hadoop等项目时报Missing artifact sun.jdk:tools:jar:1.5.0的问题
    分享eclipse自动生成java注释方法
    Android篇Styles和Themes常见用法可能疑点小结
    常用文件的MIME类型
    C#中如何将字符串转换byte[],同时如何将byte[]换成字符串
    TransactSQL语句进行导入导出[转]
    随机索引生成
    C#使用ZLIB对字符串进行压缩
    C#对XML文件的读操作
    SQL语句删除数据库重复记录的方法
  • 原文地址:https://www.cnblogs.com/xiao-bai-long/p/15200266.html
Copyright © 2011-2022 走看看