5示例

 

这一简单教程涉及以下步骤：使用“扫描配置”向导配置简单的应用程序扫描、运行扫描和复审扫描结果。

此简单教程使用“扫描配置”向导扫描 IBM 为演示而创建的“AltoroMutual Bank”Web 站点。

有经验的用户可能倾向于采用高级用户的工作流程中描述的更高级的工作流程（同样使用此向导），或使用“扫描配置”对话框进行更为详细的配置。

• 步骤 1：配置扫描
• 步骤 2：运行扫描
• 步骤 3：复审扫描结果
• 步骤 4：交流结果

您可能喜欢使用 IBM 针对演示用途而创建的“AltoroMutual Bank”Web 站点来学习本教程：

URL	http://demo.testfire.net/
用户名	jsmith
密码	demo1234

注： 如果您正在使用 AppScan® 的评估副本，那么 AltoroMutual Bank Web 站点是您可以扫描的唯一站点。

注： 本教程仅为用于运行扫描的基本步骤的一个快速浏览。 有关解释和完整指示信息，请参阅配置期间。另见高级用户的工作流程。

• 步骤 1：配置扫描
  教程的步骤 1。
• 步骤 2：运行扫描
  教程的步骤 2。
• 步骤 3：复审扫描结果
  教程的步骤 3。
• 步骤 4：交流结果
  教程的步骤 4。

 

 

 

 

步骤 1：配置扫描

教程的步骤 1。

关于此任务

当您不需要更改太多缺省配置设置时，“扫描配置向导”会提供简易方式来配置扫描。

过程

1. 启动 AppScan® 以打开欢迎屏幕，或者如果 AppScan 已打开，请单击文件 > 新建以打开类似对话框。
2. 确认已选中启动扫描配置向导复选框，然后选择常规扫描模板。

   此时会打开“扫描配置向导欢迎”。

3. 选择 Web 应用程序扫描单选按钮，然后单击下一步。

   此时会显示向导的“URL 和服务器”步骤（1/3）。

   注： 如果选择“Web Service 扫描”选项，那么流程会稍有不同，并且当向导关闭时，Generic Service Client (GSC) 会打开，从而使您能够输入将供 AppScan 用于其扫描的“测试”阶段的参数。
5. 在文本框中输入应用程序的 URL，然后单击下一步。

   此时会显示“登录管理”步骤（2/3）。

6. 单击记录登录。

   此时会打开 AppScan 浏览器，转至在上一步中设置的起始 URL。您的浏览器现在正在被 AppScan 记录。

7. 使用已授权的用户名和密码登录到应用程序。
8. 在成功登录后，关闭浏览器。
   “登录序列”（进入已登录状态的链接的序列）此时将显示，灰色钥匙图标会变成绿色，表明会话中检测是活动的。
   
   此图标 将更改为以下图标：
9. 单击下一步。

   此时会显示“测试策略”步骤（3/3）。

10. 单击下一步。
    此时会显示向导的最后步骤。您现在已准备好运行扫描
    
    注： 尽管可以在此阶段启动自动扫描，但是在许多情况下，按照一般用户的做法，通过首先手动探索应用程序会获得更好的结果。

 

 

步骤 2：运行扫描

教程的步骤 2。

关于此任务

配置完成后，便可运行扫描。

过程

1. 选择启动全面自动扫描，然后单击完成。

   此时向导将关闭，并且 Scan Expert 将开始评估站点当前配置的有效性。评估完成时，会显示所建议的配置更改核对表。

   注： 如果存在要求用户输入才能进行的更改，那么它们的复选框会呈灰色且为取消选中状态。要提供这些更改的必需输入，请单击更改的链接。
2. 单击应用建议。

   此时会应用选定的配置更改，并会启动扫描。此时会打开“进度面板”，并会实时更新“应用程序数据和问题”。

   在探索阶段，AppScan® 会搜寻您的应用程序以发现其页面和内容。当发现页面和内容时，应用程序数据树会更新，最后会显示站点的完整树。然后，在测试阶段，AppScan 会在站点上运行数千个测试，并报告找到的问题和修订建议。在该部分的扫描期间，会自动选定“安全问题”视图，“结果列表”会显示所发现问题的动态更新列表。

   扫描可以包含多个阶段（一个阶段表示依次完成探索及测试的一个周期）。如果 AppScan 在测试阶段发现新链接并且需要进行扫描，那么便会发生此情况，它会基于这些链接创建新的测试，然后运行其他扫描阶段。因为仅会扫描新链接，所以后续阶段通常会短于先前的阶段。AppScan 只要发现新的 URL 就将添加阶段，或一直添加到达到配置的“扫描限制”为止。缺省限制是四个阶段。

   完成扫描后，会关闭“进度面板”，并且您可复审结果（请参阅步骤 3：复审扫描结果）。

 

 

 

 

步骤 3：复审扫描结果

教程的步骤 3。

关于此任务

扫描完成时，会在主窗口的三个区域（应用程序树、结果列表和详细信息窗格）中显示结果。每个区域中显示的信息类型取决于已选定的“视图”（缺省值是“安全问题视图”）。

过程

要访问视图，请单击屏幕左侧的“视图选择器”中的相关图标。

视图	描述
	数据视图会提供应用程序中发现的内容项的列表。这是一种很有用的方法，可用于在开始测试阶段之前，验证扫描是否按照将覆盖您的应用程序的方式进行了配置。 应用程序树：显示 URL 和文件夹节点。 结果列表：显示按扫描结果排序的应用程序数据（请参阅应用程序数据结果列表）。例如，可以选择查看中断链接、JavaScript 和 cookie 等的列表。 详细信息窗格：显示发送到页面的请求和已收到的响应。   有关更多有关应用程序数据视图的信息，请参阅结果：应用程序数据。
	问题视图会提供扫描所发现的安全问题的综合数据。 应用程序树：显示 AppScan® 在应用程序中所发现的文件夹、URL 和文件已列出。树中各节点旁边的数字指示已发现的问题的数量。 结果列表：每个问题显示一个图标，指示赋给此问题的严重性值（请参阅“安全问题结果”列表）。 各问题还含有易受此问题攻击的 URL 的组合。在各 URL 下，会列出易受攻击的数据。 详细信息窗格：显示相应信息，以使您能够理解为什么这是一个问题，如果不加处理会有何后果，修订建议，已发送的测试请求的变体，以及 AppScan 将测试标记为问题所针对的应用程序的响应等等。   有关更多有关“问题”视图的信息，请参阅结果：安全问题。
	任务视图会显示用于处理和防止安全问题的设计修复。它为您提供一种轻松高效的方式，以简明准确的语言就应用程序中的现有问题以及如何修订应用程序设计与相关人员进行交流。 应用程序树：在树中各节点旁边显示数字，指示与各项相关的修复任务的数量。 结果列表：每个修复任务显示一个图标，指示赋给此任务的优先级值（请参阅修复任务结果列表）。 详细信息窗格：显示修复任务的详细信息并列出此任务将处理的问题。 有关更多有关“修复”视图的信息，请参阅结果：修复任务。

 

 

 

步骤 4：交流结果

教程的步骤 4。

关于此任务

有两种可与团队交流扫描结果的基本方式：

报告：

您可以基于需要的报告来选择报告模板：一个报告针对 QA，一个报告针对主管，一个报告针对开发者等等。当您进一步了解应用程序的开发生命周期时，一致性报告会变得越来越重要。您可以获取关于应用程序如何符合所选定的政府和行业标准及规范的全面报告。如需了解详细信息，请参阅报告。

个别问题：

如果有需要特定团队或个人来处理的特定问题，可以将测试及其结果发送给相关方。