ibm appscan standard

广州天懋信息系统股份有限公司 http://www.trustmo.com

1 / 34

IBM Appscan Standard

使用教程 v1.0

广州天懋信息系统股份有限公司

2016/4/28

文档版本

日期版本作者修改内容

2016-04-28 1.0 黄金振初始版本


2 / 34

目录

一、介绍篇....................................................................................................................................... 3

1.1. 产品特点 ....................................................................................................................... 3

1.2. 高级功能 ....................................................................................................................... 3

1.3. 支持技术 ....................................................................................................................... 3

二、安装篇....................................................................................................................................... 4

2.1. 安装前的准备工作 ....................................................................................................... 4

2.2. 安装步骤 ....................................................................................................................... 5

2.2.1. 介质准备 ........................................................................................................... 5

2.2.2. 安装 ................................................................................................................... 5

三、使用入门篇 ............................................................................................................................. 13

3.1. 软件界面介绍 ............................................................................................................. 13

3.1.1. 视图选择器 ..................................................................................................... 14

3.1.2. 应用程序树 ..................................................................................................... 15

3.1.3. 结果列表 ......................................................................................................... 17

3.2. 软件工作流程说明 ..................................................................................................... 18

3.3. 扫描过程步骤演示 ..................................................................................................... 19

3.3.1. URL 扫描 ......................................................................................................... 20

3.3.2. 扫描结果 ......................................................................................................... 30

3.3.3. 安全报告 ......................................................................................................... 32

四、附件......................................................................................................................................... 34


3 / 34

一、介绍篇

1.1. 产品特点

IBM Security AppScan® Standard 是用于 Web 应用程序和 Web 服务的安全漏洞测试工

具。它包含了可帮助保护站点免受网络攻击的威胁的最高级测试方法，以及一整套的应用程

序数据输出选项。IBM Security AppScan® Standard 是用于 Web 应用程序和 Web 服务的安

全漏洞测试工具。它包含了可帮助保护站点免受网络攻击的威胁的最高级测试方法，以及一

整套的应用程序数据输出选项。

AppScan Standard 采用三种彼此互补和增强的不同测试方法：

动态分析（“黑盒扫描”）

这是主要方法，用于测试和评估运行时的应用程序响应。

静态分析（“白盒扫描”）

这是用于在完整 Web 页面上下文中分析 JavaScript 代码的独特技术。

交互分析（“glass box 扫描”）

动态测试引擎可与驻留在 Web 服务器本身上的专用 glass-box 代理程序交互，从而使

其能够比仅通过传统动态测试时识别更多问题并具有更高准确性。

1.2. 高级功能

AppScan 的高级功能还包括：

常规和法规一致性报告，并提供超过 40 个不同的开箱即用模板

通过 AppScan eXtension Framework 或通过使用 AppScan SDK 直接集成到现有系统

内来实现的定制和可扩展性

链接分类功能，超越应用程序安全性以确认由指向恶意或其他不需要的站点的链接

向用户带来的风险

AppScan Standard 可帮助您在站点部署之前并且为生产阶段的进行中风险评估来降低

Web 应用程序攻击和数据违规的风险。

1.3. 支持技术

站点使用的某些技术可能会影响 AppScan 扫描站点的能力，但是其他技术完全不会影

响扫描。

AppScan 是一个“黑匣”(DAST) 工具，与浏览器使用相同的机制访问站点。因此，对

于浏览器透明的服务器端技术对于 AppScan 也透明，但不会影响扫描。

客户机端技术（如 JavaScript 和 HTTP 协议）本身不影响 AppScan。与浏览器不同，

AppScan 需要在允许自动搜寻、会话维护和课程测试级别理解这些技术。在以下情

况下，您需要配置 AppScan 才能正确进行扫描。

AppScan 扫描包含两个主要阶段：探索和测试。针对每个阶段，下表提供了理解哪些服

务器端和客户机端技术可能会影响扫描的准则以及需要配置的情况。


4 / 34

服务器端技术客户机端技术

探

索

阶

段

任何不影响客户机的服务器端技术（如使

用的特定数据库）不会以任何方式影响扫

描。

只要 AppScan 配置正确，很多影响客户机

的机制（如会化管理）都不会限制扫描。

例如，Web 服务器和应用程序服务器影响

管理会话标识的方式，AppScan 必须能够

跟踪这些标识。很多常见会话标识已预定

义或可以由 AppScan 自动检测，不需要其

他配置。但是，某些定制机制可能仍需要

其他配置。

AppScan 特别支持 WebSphere Portal 定

制 URL。WSP 对 URL 的编码方式使其在

显示时很难跟踪。AppScan 会解码这些

URL，以理解这些 URL 并对其进行调优。

仅对 Java 和 .NET 支持 glass box 扫描。

当今使用的两项主要客户机端技术是

HTML5 和 JavaScript，这两项技术都会

影响扫描的探索阶段：

AppScan 在探索阶段支持 HTML。这表

示链接可以抽取，表单可以理解和填写

等等。

AppScan 支持（执行）纯 JavaScript。特

别支持多个主要框架，包括 JQuery、

AngularJS 和 PrototypeJS。但其他很多

JS 框架不受支持，不会以任何方式影响

扫描。

如果自动探索阶段因特定技术丢失页

面，可以在自动探索之后，测试阶段之

前，通过手动探索站点将这些页面添加

到扫描。

测

试

阶

段

AppScan 旨在测试应用程序而不是其支持

技术，因此它们不会影响测试。再次考虑

数据库：AppScan 的 SQL 注入测试套件与

所用的数据库无关。它还可以为第三方测

试（常见漏洞测试）提供特定测试。

仅在 JavaScript 代码上执行客户机端

测试。当前只检测到纯 JS 漏洞。

不支持 JS 框架，因此可能无法正确分

析使用框架的 JS 代码。

完全支持 HTML5。

二、安装篇

2.1. 安装前的准备工作

硬件要求：物理主机 or 虚拟主机

双核 CPU 2.0 GHz 以上 (2 个 cpu/线程以上)

3GB RAM 以上内存

30GB 以上硬盘空间

100MB 以上网卡

建议虚拟主机配置： 4CPU / 4GB 内存/50GB 磁盘空间/百兆网卡/2M 以上带宽

操作系统要求：（不支持 XP/2000/2003）

Microsoft Windows Server 2012：Essentials、Standard 和 Datacenter

Microsoft Windows Server 2012 R2：Essentials、Standard 和 Datacenter

Microsoft Windows Server 2008：Standard 和 Enterprise，SP2

Microsoft Windows Server 2008 R2：Standard 和 Enterprise（含或不含 SP1）

Microsoft Windows 10：Pro 和 Enterprise


5 / 34

Microsoft Windows 8.1：Pro 和 Enterprise

Microsoft Windows 8：Standard、Pro 和 Enterprise

Microsoft Windows 7：Enterprise、Professional 和 Ultimate（含或不含 SP1）

软件要求：

IE: Microsoft Internet Explorer 8、9、10、11

运行环境：Microsoft .NET Framework 4.5.2 以上

(可选)flash：扫描内容涉及 flash 的时候需要安装 Adobe Flash Player for Internet Explorer

V10.1.102.64 或更高版本才能执行 Flash。

(可选) 用于定制报告模板的 Microsoft Word 2007、2010 和 2013。

2.2. 安装步骤

2.2.1. 介质准备

本次安装为 IBM Security AppScan® Standard 版本，版本号为 9.0.0.0 其他小版本基本一

致，所以不再另外列举。

通过官网下载软件或者通过光盘获取。本次测试为预先下载的安装包进行安装。

2.2.2. 安装

AppScan 安装过程较为简单，双击直接运行安装程序即可：

本次介绍的有 2 个安装程序， APPS_STD_EDI_9.0_WIN_ML_EVA 为主程序，

SEC_WEB_SER_ESP_9.0_WIN_ML_EVA 为 Web Service 组件程序，先安装主程序，后安装组件

程序。不同的小版本可能安装程序名称不一样，只需确保安装程序的来源可信即可。安装过

程大同小异，不再另外发布其他小版本的安装报告。

2.2.2.1. 安装主程序

下一步：选择安装语言


6 / 34

下一步：接受安装协议并点击下一步


7 / 34

下一步：选择安装路径，如默认安装，直接点击“安装”


8 / 34

注意安装结束后提示是否下载 Appscan 的 web services 扫描组件，如无需求，可以不安

装，有需要的话，可以在确保联网的情况下点击“是”，进行在线下载，本次测试已提

前下载好 web services 组件的安装程序，在此步骤，我们选择“否”。在主程序安装完毕

后我们再另行安装。

下一步：点击“完成”，到目前为止我们已安装好了 appscan 的主程序。


9 / 34

在进行下一步安装之前，我们先验证一下已安装的主程序是否可以正常运行：

双击桌面程序图标：

运行过程中出现了注册表问题：条目中的服务器连接数量非 appscan 的建议标准值，提

示是否允许进行修改？此处建议为修改。

确定后会自行退出，请重新运行桌面图标。


10 / 34

好了，到目前为止我们已完成 appscan 的主程序安装。

2.2.2.2. 安装组件（Web Services）

下一步我们来安装 Web Services 组件，如无 Web Services 扫描需求，可以跳过。

双击安装程序：

下一步：选择安装语言

点击下一步：


11 / 34

下一步：接受安装协议并点击下一步

下一步: 点击“安装”进行下一步安装


12 / 34

下一步：点击“完成”，到此我们的安装已全部完成。


13 / 34

下面我们开始我们的安全扫描之旅！

三、使用入门篇

3.1. 软件界面介绍

安装后运行桌面图标，我们将得到 appscan 的软件界面。


14 / 34

3.1.1. 视图选择器

“数据”视图显示来自“探索”阶段的脚本参数、交互式 URL、已访问的 URL、中

断链接、已过滤的 URL、注释、JavaScript 和 cookie。

应用程序树：完成应用程序树。

结果列表：从“结果列表”顶部的弹出列表中选择过滤器，以确定要

显示哪些信息。

详细信息窗格：脚本参数、交互式 URL、已访问的 URL、中断链接、

已过滤的 URL、注释、JavaScript 和 cookie 的已过滤列表。与其他

两个视图不同，即使 AppScan® 仅完成了“探索”阶段，“应用程序数

据”视图也可用。使用“结果列表”顶部的弹出列表来过滤数据。

键盘快捷键：F2

“问题”视图显示发现的实际问题，从概述级别一直到个别请求/响应级别。这

是缺省视图。

应用程序树：完成应用程序树。每个项旁的计数器会显示为项找到

的问题数量。

结果列表：列出应用程序树中所选定的节点的问题，以及每个问题

的严重性。


15 / 34

详细信息窗格：显示在“结果列表”中所选定问题的咨询、修订建议

和请求/响应（包括所使用的所有变体）。


任务视图提供特定修复任务的任务列表，以修订扫描所找到的问题。

应用程序树：完成应用程序树。每个项旁的计数器会显示该项的修

订建议数量。

结果列表：列出应用程序树中所选定的节点的修订任务，以及每项

任务的优先级。

详细信息窗格：显示在“结果列表”中所选定的修复任务的详细信

息，以及该修复将解决的所有问题。


3.1.2. 应用程序树

“应用程序树”是一个树形视图，显示 AppScan® 在您的应用程序上找到的文件夹、URL

和文件。对于不具有分层 URL 结构的应用程序，如单个入口点应用程序（例如 MVC），或

者分层结构不合逻辑的应用程序，您可通过定义一组可从页面中抽取逻辑路径的正则表达

式，来创建“基于内容”的应用程序树。


16 / 34

“应用程序树”右键单击菜单

如果您在“应用程序树”中右键单击某个项（不是“我的应用程序”），那么上下文相关的菜

单便会提供以下选项的部分或全部：

菜单项功能

在浏览器中显示打开嵌入式浏览器，进入所选 URL。

手动探索启动所选项的“手动探索”。

Manual Test 打开手工测试对话框。

记录多步骤操作记录多步骤操作序列，用于测试只能通过以特定顺序单击来访问的站

点部分。

复制 URL 将所选 URL 复制到剪贴板。（存在多个子节点时，将复制第一个子

节点的 URL。）

为此节点报告为应用程序树中当前选定的节点（包括其所有子节点）创建报告。

从扫描中排除从扫描中排除所选的 URL（或者所选节点下的所有 URL）。（使用“包

括在扫描中”来切换）。


17 / 34

3.1.3. 结果列表

结果列表计数器（各节点旁边括号中的数字）会根据您在视图选择器中所选的视图进行

更改：

安全问题：计数器会指示与节点及其所有子节点相关的问题总数。

注：安全问题的总数（位于结果列表的顶部）是站点中易受攻击位置的一种度量方式，并

且部分取决于站点的构造方式。如果定义基于内容的结构，那么应用程序树中的问题总数

可能与基于 URL 的应用程序树对应的问题总数不同（针对相同的结果）。如果站点结构基于

内容（而不是基于 URL），并且基于内容的视图正确配置，那么基于内容的视图中的问题计

数能更准确地表示站点中存在的“易受攻击位置”的数量。变体总数（位于结果列表顶部的括

号中）与站点结构无关，并且不会在基于内容的视图和基于 URL 的视图之间进行更改。

修复任务：计数器会指示与节点及其所有子节点相关的修复任务的数量。

应用程序数据：无计数器。


18 / 34

3.2. 软件工作流程说明

AppScan 工作流程包含下列阶段：

1.选择模板：预定义的扫描配置即是扫描模板。您可以装入“常规扫描”模板，其他预定

义模板，或者先前已保存的模板。（您可以稍后按照要求为当前扫描调整配置。）

2.应用程序或 Web Service 扫描：扫描 Web Service 要求用户使用 GSC（通用服务客户

机）进行一些手动输入，以向 AppScan 说明如何使用此服务。

Web 应用程序扫描：如果您扫描的不是 Web Service，或者如果您要扫描应用程序

中其 Web 服务以外的部分，请保留此缺省选项的选中状态。

Web Service 扫描：如果您要扫描服务，请选择此选项。随后将打开 GSC（通用服

务客户机），以便您可以向服务发送请求并收集结果，以供 AppScan 分析并用于创建测

试。

3.扫描配置：配置扫描，将站点、环境以及其他需求的详细信息考虑在内。

4.（可选）手动探索：登录到站点，然后单击链接并像用户那样填写表单。这是一个很

好的方法来向 AppScan“展示”典型用户如何浏览站点，从而确保扫描站点的重要部分并提供

用于填写表单的数据。

5.（仅 Web Service）使用 GSC 发送请求：打开 GSC 并向服务发送一些有效请求。

6.（可选）运行 Scan Expert：这是对您的站点的一个简短预扫描，以评估配置。Scan Expert

可能会建议进行更改以提高主扫描的效率。

7.扫描应用程序或服务：这是主扫描，由探索和测试阶段组成。

探索阶段：AppScan 搜寻您的站点（像一般用户那样访问链接），并记录响应。它

将创建在您应用程序上所找到的 URL、目录和文件等的层次结构。此列表会显示在应用

程序树中（请参阅应用程序树）。

探索阶段可自动完成、手动完成或以两种方式的组合方式完成。此外，您还可以导


19 / 34

入探索数据文件（请参阅导出“手动探索”数据），此文件由以前记录的手动探索序列组

成。AppScan 随后分析其从站点收集的数据，并且根据这些数据为站点创建测试。这些

测试旨在揭露基础结构（例如第三方商品或因特网系统中的安全漏洞）的弱点和应用程

序自身的弱点。

测试阶段：在测试阶段中，AppScan 会根据其在探索阶段中接收到的响应来测试您

的应用程序，以揭露漏洞并评估其严重性。

可以在“扫描配置”对话框中查看当前版本的 AppScan 中包含的所有测试的最新列

表（请参阅“测试策略”视图）。

除 AppScan 自动创建和运行的测试外，您还可以创建用户定义的测试（请参阅用

户定义的测试）。您的测试可对 AppScan 生成的测试进行补充，并且可以验证其发现

的结果。

测试结果会显示在结果列表中，您可以从中对其进行查看和修改。结果的完整详细信息会显

示在“详细信息”窗格中。

8.（可选）Result Expert：处理扫描结果并将信息添加到“问题信息”选项卡（在“详细信

息”窗格中），包括 CVSS 度量评分和相关截屏。

9.（可选）运行恶意软件测试：这将分析站点上找到的页面和链接是否包含恶意内容和

其他不需要的内容。

注：尽管恶意软件测试原则上可在此阶段执行（在此情况下将使用主扫描的探索

阶段结果），但在实践中，恶意软件测试通常在实时站点上运行，而常规扫描通常在测

试站点上运行（因为扫描实时站点存在将其中断的风险）。

10.复审结果用于评估站点的安全状态。Result Expert 可就此对您进行帮助。

您可能还需要执行以下操作：

手动探索其他链接

复审修复任务

打印报告

根据您对结果的复审，在必要的情况下调整扫描配置，然后再次扫描

3.3. 扫描过程步骤演示

扫描原理说明：


20 / 34

3.3.1. URL 扫描

3.3.1.1. 常规静态页面扫描（无登陆认证）

现在我们对一个 URL 进行一次测试扫描，下面我们以 http://demo.testfire.net 网站为扫

描对象进行扫描测试

A．打开软件，“文件”-“新建”


21 / 34

B．选择进行扫描的模板，本次测试使用了预设的模板“常规扫描”

模板定义：一系列扫描规则的集合。

软件提供了一下预设的扫描方案，用户可以根据自己的应用类型进行选择：

常规扫描（推荐）

快速且简便的扫描


22 / 34

基于参数的导航

WebSphere Commerce

WebSphere Portal

Hacme Bank

WebGoat v5

C．选择扫描类型，本次测试我们的对象为 web 应用，所以我们选“Web 应用程序扫

描”，点击下一步。

D．在起始 URL 栏填入我们需要扫描的 url 地址：http://demo.testfire.net

E.由于本次我们是对无需登录的静态页面进行扫描，所以我们在“登录管理”中选中“无”。


23 / 34

F．本次我们只对应用程序扫描，为了节省扫描时间与扫描的精准度，所以扫描的策略

使用“仅应用程序”

注：扫描策略定义为多个扫描策略规则的集合，软件预定义策略如下：

仅应用程序（如果只测试 APP，推荐此策略）

仅基础架构

仅第三方

入侵式

完全

Web Services

关键的少数

开发者精要


24 / 34

G．为了避免对不必要的过程，扫描配置向导最后一步的启动步骤，我们选择“我将稍

后启动扫描”。因为自动扫描可能会对我们的应用产生一定的影响，如性能下降、拒绝服务

等等，出于在线环境的保护，我们将手动启动扫描。

H．出于使用习惯，我们选择“仅探索”，其他无特殊需求的用户可以直接完全扫描，但

是对于生产环境，不建议这样直接完全扫描，扫描时间无法评估，所以一般情况下先通过探

索获取应用的整体架构，根据需求进行测试。


25 / 34

系统提示是否自动保存扫描的结果，一般我们都自动保存，所以选“是（Y）”

I.系统的保存你所进行的扫描进行文件级别的保存，所以输入需要进行保存的文件名称，

以便进行下次查看。如 demo.testfire.net

J.扫描结束后，在应用程序树里面会显示完整的网站结构，请核查是否扫描完整，不完

整可以重新扫描，不影响上一次结果。


26 / 34

K.得到网站结构后，我们选择仅测试，对结果进行漏洞测试与验证，查找网站的漏洞等

问题。

下方的状态栏会出现测试进度。

L.测试结束后，会在结果列表里面把网站所有的漏洞、隐患进行排序，可以通过详细信

息查看问题代码，并提供建议。


27 / 34

3.3.1.2. 添加登录认证

对于需要登陆的网站类型，我们还需要进行登录配置，才能获取登录后的页面。

A．点击“配置”

B.选择“登录管理”，并把原来的“无”，改成“记录（推荐）（E）”，并点击“记录”进

行登录验证。


28 / 34

C.点击“记录”后会出现 APPSCAN 自带的浏览器，并出现所需要扫描的网站。找到登录

链接，并进行登录，让 APPSCAN 可以对你的登录进行记录。


29 / 34

登录通过后，可以直接关闭浏览器

等待后，关注图标的变化。

D.添加登录后，在进行扫描测试，问题明显增加，由原来 25 个问题，提升到 115 个：


30 / 34

好了，到此为止，页面登录测试已完成。

3.3.2. 扫描结果

经过扫描我们来研究一下我们的结果

3.3.2.1. 漏洞定位

打开我们的结果，我们可以得到以下内容

在“请求/响应”栏，我们可以查看 APPSCAN 所用的攻击测试用例，并进行前后对比，

提供了比较详细的说明。用户可以通过结果来判断是否误报


31 / 34

3.3.2.2. 漏洞定性

对于扫描结果，可能存在一些误报，或者只是存在脆弱性，并非直接漏洞，所以我们可

以对结果进行一定的加工。

通过右键，我们可以对结果进行多种操作：

如降级、删除、设置为无漏洞等等，如下图。


32 / 34

3.3.3. 安全报告

APPSCAN 支持各种类型的报告输出。

3.3.3.1. 报告类型


33 / 34

图标名称简短描述

安全性报

告

扫描期间找到的安全问题的报告。安全信息可能非常广泛，并可

根据您的需要进行过滤。包括六个标准模板，但根据需要，每个

模板都可轻易调整，以包括或排除信息类别。

行业标准

报告

应用程序针对选定的行业委员会或您自己的定制标准核对表的一

致性（或非一致性）报告。

合规性报

告

应用程序针对规范或法律标准的大量选项或您自己的定制“合规

一致性”模板的一致性（或非一致性）报告。

增量分析

报告

“增量分析”报告比较了两组扫描结果，并显示了发现的 URL 和/

或安全问题中的差异。

基于模板

的报告

包含用户定义的数据和用户定义的文档格式化的定制报告（格式

为 Microsoft Word .doc）。


34 / 34

3.3.3.2. 报告布局

四、附件

IBM 官方手册：

appscan9031-用

户手册.pdf

ibm appscan standard

Documents