我們按照pdca的方來進行規劃和討論; 建議的appscan使用步驟:pdca: plan,do,check, action&---ysis.
1) 明確目的:選擇合適的掃描策略
2) 了解對象:首---行探索,應用安全軟件,了解網站結構和規模
3) 確定策略:進行對應的配置
a) 按照目錄進行掃描任務的分解
b) 按照掃描策略進行掃描任務的分解
4) 進行掃描
5) 先爬后掃繼續僅測試
6) 檢查和調整配置
7) 對比結果
8) 匯總結果整合和過濾
appscan使用步驟
6.勾選啟動方式:
1)啟動自動掃描:會自動探索url,而且邊探索邊掃描頁面。
2)僅使用自動“探索”啟動:自動探索url,不做掃描。
3)使用“手動探索”: 手動去訪問頁面,測試軟件,appscan會自動記錄你訪問頁面的url
4)我將稍后啟動掃描:appscan不做任何操作,需要自己手動去啟動掃描。
appscan案例分析
工作中遇到一個案例,使用 appscan 掃描掃描了 3*24 小時,掃描的 scan 文件已經達到9g;掃描還在持續進行中,總體進度完成了
30%,可以---掃描速度已經很緩慢,appscan價格多少,還需要多長時間才可以完成掃描?掃描完成以后如此大的結果文件是否可以成功打開和修改保存 ?
我們的分析過程如下:
1、和用戶討論,確認關心的安全問題,根據這些安全問題制定測試策略;討論后確定選擇“sql 注入”和“跨站點---編制”兩種類型的安全---。
2、確定網站范圍,被掃描應用是典型運營商門戶網站,重點要掃描門戶網站自身和其上面提供的“網上營業廳”服務。分析被測網站,使用 appscan 配置了網站主頁面,然后選擇“僅探索”運行 20 分鐘后,發現 30,000 多個頁面。停止探索,開始分析頁面。
3、分析發現該網站同一個鏈接,存在 http、https 訪問的不同情況,appscan,而且兩種訪問方式訪問到的頁面內容相同,則過濾掉 https 的請求,集中測試 http 請求。分析發現存在大量的“偽靜態頁面”,如:
|
登錄后臺
