AppScan標準版與源碼版功能介紹

IBM Security AppScan系列介紹IBM Security AppScan系列介紹1IBM Security Appscan Standard V8.8介紹1簡介1 一、 安裝1二、 破解2三、 使用2掃描方式一：2附：掃描方式二7生成報告10IBM Security AppScan Source V8.7介紹13簡介13一、 安裝13二、 破解14三、 使用16IBM Security Appscan Standard V8.8介紹簡介IBM Security AppScan 是專門面向 Web 應用安全檢測的自動化工具，是對 Web 應用和 Web Services 進行自動化安全掃描的黑盒工具。它不但可以簡化企業(yè)發(fā)現(xiàn)和修復 Web 應用安全隱患的過程（這些工作以往都是由人工進行，成本相對較高，效率低下），還可以根據(jù)發(fā)現(xiàn)的安全隱患，提出針對性的修復建議，并能形成多種符合法規(guī)、行業(yè)標準的報告，方便相關(guān)人員全面了解企業(yè)應用的安全狀況。利用 IBM Security AppScan，應用程序開發(fā)團隊在項目交付前，可以對所開發(fā)的應用程序與服務(wù)進行安全缺陷的掃描，自動化檢測 Web 應用的安全漏洞，從網(wǎng)站開發(fā)的起始階段就掃除 Web 應用安全漏洞。1、 安裝1、 安裝IBM Security AppScan Standard V8.8之前請確認已經(jīng)成功安裝好Microsoft .Net Framework 4.5。2、 雙擊進行安裝。一路Next即可。2、 破解將文件拷貝至IBMAppScan Standard目錄下替換源文件即可。運行IBM AppScan Standard后顯示演示許可證，但是可以正常進行web網(wǎng)頁掃描。由于破解后依然為演示許可證，所以不可以進行系統(tǒng)更新。3、 使用掃描方式一：1、 雙擊運行程序。2、 直接點擊【掃描】選擇【完全掃描】即可。3、 提示需要指定URL信息，點擊【是（Y）】4、在此處輸入需要掃描的WEB頁面URL5、 點擊【登錄管理】，如果需要掃描的web沒有登錄的邏輯或者不需要關(guān)心登錄后的網(wǎng)頁掃描，則不用修改該頁面下的配置。點擊【記錄】，程序會自動打開需要掃描的web頁面，只需執(zhí)行一下登錄或著注銷等操作就好，執(zhí)行完成后關(guān)閉瀏覽器頁面，程序則會自動掃描關(guān)聯(lián)登錄與注銷相關(guān)頁面。6、 點擊【環(huán)境定義】，如果熟悉需要掃描的web服務(wù)器配置，在此可以進行選擇，不清楚的話可以都用默認配置就好。7、 點擊【排除路徑和文件】，在此頁面下輸入不需要掃描的頁面或者相關(guān)格式文件。例如：不希望掃描所有跟訂單管理有關(guān)的頁面則輸入：8、 點擊【探索選項】，在此頁面下可以修改web頁面掃描方式，此處可選是否探索web頁面中的Flash漏洞與探索方法。9、 點擊【通信與代理】，該頁面下可以修改掃描時是否使用代理服務(wù)器訪問被掃描的WEB頁面。10、 點擊【測試策略】，在此頁面下可以修改掃描時用到漏洞規(guī)則。如有必要可以修改，一般默認即可。11、 在常規(guī)下面的三項基本都使用默認即可，默認規(guī)則下已經(jīng)全選了所有掃描規(guī)則。12、 修改完后，點擊【確定】即可開始掃描。附：掃描方式二也可以點擊【文件】后再點擊【新建】打開新建掃描框。選擇合適的模版，這里選擇【綜合掃描】，點擊【下一步】輸入URL后點擊【下一步】同樣有登錄和注銷邏輯的web則錄制登錄與注銷操作，無則點擊【下一步】選擇測試策略，建議選擇【完成】，可以得到最全面的掃描。點擊【下一步】生成報告13、 掃描完成后，點擊【報告】，打開報名模版選擇頁面最后一步，點擊【完成】即可開始掃描。14、 在模版下選擇模版類型，選擇詳細報告是最全面的。點擊【布局】可以將報告的logo修改為公司的logo樣式。還可以修改報告標題名稱與描述等信息。15、 點擊【行業(yè)標準】可以選擇不同行業(yè)標準的導出模版。16、別的項目都默認就好了，默認是導出PDF格式的報告，如果想導出Word文檔格式的，可以選擇最后一項【基于模版】，在這里選擇word文檔格式。IBM Security AppScan Source V8.7介紹簡介IBM® Security AppScan® Source 通過在開發(fā)過程中及早識別軟件漏洞并在部署之前使之消失，幫助組織節(jié)省資金，降低風險。IBM Security AppScan Source 將應用安全性測試整合到軟件開發(fā)的生命周期中。它能夠及早識別軟件漏洞并在部署之前消除漏洞，幫助組織節(jié)省資金，降低風險。IBM Security AppsCan Source 支持移動應用測試，包括 JavaScript、Java 和 Objective-C。IBM Security AppScan Source 可實現(xiàn)如下成果：通過源代碼分析，增強軟件安全性，降低成本。通過集成提高了智能化水平，集成了現(xiàn)有工具和流程，如應用開發(fā)、構(gòu)建集成和安全監(jiān)控。安全性最佳實踐，通過對安全性策略的集中管理和實施。報告、治理與合規(guī)功能，促進對安全狀態(tài)和問題的溝通。1、 安裝1、安裝IBM Security AppScan Source V8.7之前請確認已經(jīng)成功安裝好JAVA和IBM Security AppScan Enterprise。2、 雙擊打開AppScan Source安裝文件夾。3、 雙擊進行AppScan Soure V8.7安裝程序。2、 破解先將系統(tǒng)時間調(diào)到2014年2月28日之前，調(diào)的越前試用時間就越長。4、 雙擊Appscan Source程序圖標，程序啟動時會校驗許可證，這時提醒無有效的許可證，詢問是否打開許可證管理程序，點擊【是】，打開AppScan Source License Manager程序。5、 點擊【導入許可證】6、 找到許可證文件，選擇并導入。7、導入成功，此時可關(guān)閉AppScan Source License Manager程序并開始使用AppScan Source 程序了。3、 使用1、 雙擊Appscan Source程序圖標啟動程序。2、 輸入密碼登錄3、 接下會提示該證書是自簽名等等提示，只要選擇允許使用就可以了。4、 進入程序頁面。5、 點擊【導入Eclipse/RAD工作空間】，打開導入窗口頁面。6、 點擊【瀏覽】選擇Eclipse工作目錄后，點【確定】7、 AppScan會自動搜索Eclipse工作目錄下的所有項目8、 對著要掃描的項目名點鼠標右鍵，再點擊【屬性】打開屬性頁面9、在屬性頁面的下發(fā)，點擊【掃描規(guī)則和掃描集】10、 在掃描規(guī)則集中點擊添加符號11、 在選擇規(guī)則集下選擇需要用到的規(guī)則