appscan軟件特點
1、動態(tài)分析“黑盒掃描”
這是主要方法,用于測試和評估運行時的應用程序響應。
2、靜態(tài)分析“白盒掃描”
這是用于在完整 web 頁面上下文中分析 javasc ript 代碼的技術。
3、交互分析“glass box 掃描”
動態(tài)測試引擎可與駐留在 web 服務器本身上的 glass-box 代理程序交互,從而使appscan10中文能夠比僅通過傳統(tǒng)動態(tài)測試時識別更多問題并具有更高準確性。
4、appscan10的高及功能包括:
常規(guī)和法規(guī)一致性報告,并提供超過 40 個不同的開箱即用模板
appscan總結測試結果形成報告
一發(fā)送測試報告
以郵件的形式發(fā)送測試報告,應用安全軟件,測試報告主要包含兩份附件:導出的安全測試報告和手寫的測試報告。
這兩份報告的區(qū)別:
從生成的scan測試文件直接導出來的報告,會顯示所有的問題,高中低都會顯示,appscan價格多少,且有些問題是無法復現(xiàn)的。
而自己手寫的測試報告,appscan,包含了開發(fā)負責人,測試負責人,以及需要修復的漏洞,對比導出的報告,做出了篩選,只列出了需要修復的漏洞,appscan---,以及對應的接口地址,修復情況等等。
測試郵件則包含:
1、項目名稱
2、網(wǎng)址
3、開發(fā)負責人
4、測試負責人
5、測試概述即介紹安全測試的意義
6、測試范圍
7、測試工具
8、風險等級包含的漏洞風險等級,以及問題總數(shù)
9、風險類型sql注入,跨站點請求等等
10、測試日期
11、安全審計員
appscan使用步驟
5.選擇測試策略:
測試策略說明:
缺省值:包含多有測試,但不包含侵入式和端口---
僅應用程序:包含所有應用程序級別的測試,但不包含侵入式和端口---
僅基礎結構:包含所有基礎結構級別的測試,但不包含侵入式和端口---
侵入式:包含所有侵入式測試可能影響服務器穩(wěn)定性的測試
完成:包含所有的appscan測試
關鍵的少數(shù):包含一些成功可能性較高的測試---,在時間有對站點評估可能有用
精要:包含一些成功可能性---的應用程序測試的---,在時間有對站點評估可能有用
web service:包含所有soap相關測試
登錄后臺
