亚洲日韩VA无码中文字幕,亚洲a一级免费视频,国产亚洲成av人片在线观看

blog已經(jīng)轉(zhuǎn)移至github,大家請訪問 http://qaseven.github.io/

IBM Rational Appscan使用之掃描結(jié)果分析

　之前有IBM Rational Appscan使用詳細(xì)說明的一篇文章，主要是針對掃描過程中配置設(shè)置等.本文將介紹針對掃描結(jié)果的分析,也是一次完整的滲透測試必須經(jīng)歷的環(huán)節(jié).

　　掃描開始的時候,Appscan會詢問是否保存掃描結(jié)果,同時下方有進(jìn)度條顯示掃描的進(jìn)度.

　　在掃描過程中，如果遇到任何連接問題或其他任何問題，可以暫停掃描并在稍后繼續(xù)進(jìn)行.如第一篇文章中講的掃描包括兩個階段-探索、測試.Appscan種的Scan Expert和HP WebInspect中的建議選項卡類似,Scan Expert分析掃描的配置，然后針對變化給出配置建議,目的是為了更好的執(zhí)行一次掃描.可以選擇忽略或者執(zhí)行這些建議.

　　Appscan的窗口大概分三個模塊,Application Links(應(yīng)用鏈接), Security Issues(安全問題), and Analysis(分析)，如下圖所示:

　　Application Links Pane(應(yīng)用程序結(jié)構(gòu))

　　這一塊主要顯示網(wǎng)站的層次結(jié)構(gòu),基于URL和基于內(nèi)容形式的文件夾和文件等都會在這里顯示,在旁邊的括號里顯示的數(shù)字代表存在的漏洞或者安全問題.通過右鍵單擊文件夾或者URL可以選擇是否忽略掃描此節(jié)點.Dashboard窗格會根據(jù)漏洞嚴(yán)重程序，高中低列出網(wǎng)站存在的問題情況,因此Dashboard將反映一個應(yīng)用程序的整體實力。

　　Security Issues Pane(安全問題)

　　這個窗格主要顯示應(yīng)用程序中存在的漏洞的詳細(xì)信息.針對沒一個漏洞，列出了具體的參數(shù).通過展開樹形結(jié)構(gòu)可以看到一個特定漏洞的具體情況，如下所示：

　　根據(jù)掃描的配置,Appscan會針對各種諸如SQL注入的關(guān)鍵問題，以及像郵件地址模式發(fā)現(xiàn)等低危害的漏洞進(jìn)行掃描并標(biāo)識出來.因為掃描策略選擇了默認(rèn)，Appscan會展示出各種問題的掃描情況.右鍵單擊某個特定的漏洞可以改變漏洞的的嚴(yán)重等級為非脆弱,甚至可以刪除.

　　Analysis Pane(分析)

　　選擇Security Issues窗格中的一個特定漏洞或者安全問題，會在Analysis窗格中看到針對此漏洞或者安全問題的四個方面:Issue information(問題信息), Advisory(咨詢), Fix Recommendation(修復(fù)建議), Request/Response(請求/相應(yīng)).

　　Issue information(安全問題信息)

　　Issue information 標(biāo)簽下給出了選定的漏洞的詳細(xì)信息,顯示具體的URL和與之相關(guān)的安全風(fēng)險。通過這個可以讓安全分析師需要做什么，以及確認(rèn)它是一個有效的發(fā)現(xiàn)。

　　Advisory(咨詢)

　　在此選項卡，你可以找到問題的技術(shù)說明，受影響的產(chǎn)品，以及參考鏈接。

　　Fix Recommendation(修復(fù)建議)

　　本節(jié)中會提到解決一個特定問題所需要的步驟.

　　Request/Response(請求/響應(yīng))

　　此標(biāo)簽顯示發(fā)送給應(yīng)用程序測試相關(guān)反應(yīng)的具體請求的細(xì)節(jié).在一個單一的測試過程中，根據(jù)安全問題的嚴(yán)重性會不止發(fā)送一個請求.例如，檢查SQL盲注漏洞，首先AppScan中發(fā)送一個正常的請求，并記錄響應(yīng)。然后發(fā)送一個SQL注入?yún)?shù)，然后再記錄響應(yīng).同時發(fā)送另外一個請求，來判斷條件,根據(jù)回顯的不同，判斷是否存在脆弱性漏洞。在此選項卡，有以下一些標(biāo)簽.如圖：

　　Show in Browser(在瀏覽器顯示),讓你在瀏覽器看到相關(guān)請求的反應(yīng),比如在瀏覽器查看跨站腳本漏洞.實際上會出現(xiàn)警從Appscan發(fā)出的彈窗信息.

　　Report False Positive(報告誤報)，如果發(fā)現(xiàn)誤報，可以通過此標(biāo)簽發(fā)送給Appscan團(tuán)隊.

　　Manual Test(手動測試),單擊此項之后會打開一個新的窗口，允許您修改請求并發(fā)送來觀察響應(yīng).這個功能類似Burp Suite中的"repeate"選項.

　　Delete Variant(變量刪除)，從結(jié)果中刪除選中的變量.

　　Set as Non-vulnerable(非脆弱性設(shè)置),選取的變量將被視為非脆弱性.

　　Set as Error Page(設(shè)置為錯誤頁面), 有時應(yīng)用程序返回一個定制的錯誤頁面,通過此選項可以設(shè)置錯誤頁面，避免Appscan因為掃描響應(yīng)為200而誤報.

　　Understanding the Toolbar(了解工具欄)

Scan按鈕,開始掃描探測，繼續(xù)掃描探測.

　　Manual Explore(手動掃描)按鈕可以用于如果只想掃描特定的URL或者網(wǎng)站的一部分,可以記錄輸入鏈接，然后點擊"Continue with Full Scan(繼續(xù)全面掃描)",Appscan就只會掃描手動掃描設(shè)置下的鏈接.

　　Scan Configuration(掃描配置) 按鈕會打開配置向?qū)?

　　通過點擊report按鈕，可以生成一份詳細(xì)的掃描分析報告.

　　Scan Log(掃描日志)記錄AppScan中進(jìn)行的掃描的每一個動作。因此，使用此功能，您可以跟蹤所有的活動。例如，掃描運行時，你可以查看此時AppScan中正在尋找什么。

　　Analyze JavaScript(分析Javascript)按鈕執(zhí)行的JavaScript分析，發(fā)現(xiàn)廣泛的客戶端的問題，如基于DOM的跨站腳本.

　　可以在View Application Data下查看其他各種結(jié)果。比如訪問的網(wǎng)址，斷開的鏈接，JavaScript,Cookies等.

　　以上是對Appscan中的工具功能進(jìn)行簡單的了解,繼續(xù)進(jìn)行結(jié)果分析,可能需要先解決高的嚴(yán)重性的漏洞或者安全問題.首先選擇一個脆弱的網(wǎng)址或參數(shù)的分析，如下圖所示:

　　在分析( analysis)選項卡下會自動獲得相關(guān)的強調(diào)細(xì)節(jié),首先需要判斷是否是一個脆弱性漏洞，或者是一個誤報.這個判斷完全取決與你的技術(shù)水平，如果確定是誤報，可以右鍵進(jìn)行刪除.如果是正確的判斷,可以繼續(xù)分析下一個掃描結(jié)果,全部分析完成可以生成一個分析報告.

　　下面的一些提示將有對分析有所幫助:

　　Tips for Analysing(分析注意事項)

　　1.分析掃描結(jié)果的同時，如果發(fā)現(xiàn)不是你的應(yīng)用程序有關(guān)的問題，可以點擊右上角的Vulnerability-->State-->Noise.這個掃描將會完全從列表中刪除此掃描結(jié)果.如果想顯示,可以在View-->Show issues Marker as Noise(顯示標(biāo)記為雜訊的問題),將會顯示帶有刪除線的灰色文本中的問題.

　　2.如果開發(fā)團(tuán)隊針對一個特定的漏洞進(jìn)行了修復(fù),不必要再次掃描整個應(yīng)用程序,來進(jìn)行重新測試該問題.只需要點擊URL,選擇"Retest the Issues Found",如果有發(fā)現(xiàn)新的問題，會自動添加到掃描結(jié)果中.

　　3.CVSS設(shè)置可以調(diào)整特定漏洞的嚴(yán)重性,想改變漏洞嚴(yán)重性，右鍵單擊一個漏洞,Severity-->CVSS settings.

　　4.工具菜單中的"Manual Test(手動測試)"選項可以幫助進(jìn)行手動發(fā)送攻擊請求,而且可以保存當(dāng)前掃描下的結(jié)果，編輯請求,發(fā)送后，點擊"Save"保存當(dāng)前的掃描測試.

　　5.Appscan掃描過程中會有很多測試，掃描結(jié)果中只顯示發(fā)現(xiàn)的漏洞的測試,如果需要顯示所有的測試(包括非脆弱的結(jié)果),需要選擇Scan Configuration(掃描配置)-->Test 下的"Save Non-vulnerable Test Variant Information"選項.完成掃描之后可以在View-->Non-vulnerable Variants下查看到.

　　6.如果想掃描一個特定的URL或一個應(yīng)用程序的特定部分,可以先針對整個應(yīng)用程序進(jìn)行探測而不進(jìn)行測試.選擇掃描配置向?qū)碌?Start with Automatic Explore Only"選項.然后輸入要掃描的網(wǎng)址,進(jìn)行掃描.

　　7.當(dāng)需要掃描一個正在使用的網(wǎng)站,有可能會導(dǎo)致服務(wù)癱瘓,需要確保開發(fā)團(tuán)隊有意識到這個后果.

　　8.Test Malware(惡意軟件測試):這個會分析網(wǎng)站中的惡意的鏈接.可以選擇Scan-->Test For Malware，如果有任何發(fā)現(xiàn)，也會被添加掃掃描結(jié)果中.

　　Generating Reports(生成報告)

　　在分析結(jié)束之后可以針對所有確定的結(jié)果進(jìn)行生成報告.其中包括為了解決改問題需要遵循的補救措施的報告.報告是可以根據(jù)需求進(jìn)行定制的,例如可以為不同的開發(fā)團(tuán)隊設(shè)置不同的模板.比如針對公司標(biāo)志，封面頁，報告標(biāo)題等進(jìn)行不同的定制。

　　在上圖中，可以看到所有可選的參數(shù).

　　Tools(工具)

　　本節(jié)介紹Tools中的Power Tools，該工具是為了更好的對結(jié)果進(jìn)行分析.

　　Authentication Tester(認(rèn)證測試)

　　幫助執(zhí)行針對應(yīng)用程序用戶名和密碼進(jìn)行暴力猜解，結(jié)果取決于密碼策略字典強大與否.

　　Connection Test(連接測試)

　　可以用來ping一個網(wǎng)站,僅此而已.

　　Encode/Decode(編碼/解碼)

　　分析掃描結(jié)果的同時，可能會遇到許多的地方需要進(jìn)行編碼和解碼.

　　HTTP Request Editor(Http請求編輯器)

　　可以修改請求的值來測試應(yīng)用程序針對請求返回的不同響應(yīng).

　　這篇文章是Rational Appscan使用中的一部分內(nèi)容,重要的是牢記,工具值提供結(jié)(在某些情況下甚至都可能不提供你所有的結(jié)果),從安全分析師的觀點，提升個人技術(shù)技能才是最重要的，從而可以判斷發(fā)現(xiàn)的是否是誤報還是真正存在漏洞.

posted on 2014-09-19 09:56 順其自然EVO 閱讀(639) 評論(0) 編輯收藏所屬分類: 安全性測試

新用戶注冊刷新評論列表


只有注冊用戶登錄后才能發(fā)表評論。




網(wǎng)站導(dǎo)航: 博客園 IT新聞 Chat2DB C++博客博問管理
相關(guān)文章: 在開發(fā)流程中嵌入安全測試滲透測試必知必會—Web漏洞 Bash遠(yuǎn)程命令執(zhí)行漏洞(CVE-2014-6271)分析利用 Web安全測試-WebScarab工具介紹如何使用Nikto漏洞掃描工具檢測網(wǎng)站安全 W3af簡單使用教程 AppScan Source V8.8 中棄用的功能 IBM Rational Appscan使用之掃描結(jié)果分析應(yīng)用安全測試：雙面的黑盒對比AppScan Source和Fortify掃描AltoroJ的結(jié)果

qileilove

IBM Rational Appscan使用之掃描結(jié)果分析

導(dǎo)航

統(tǒng)計

常用鏈接

留言簿(55)

隨筆分類

隨筆檔案

文章分類

文章檔案

搜索

最新評論

閱讀排行榜

評論排行榜