安全测试应该是测试中非常重要的一部分,但他常常容易被忽视掉。

  尽管国内经常出现各种安全事件,但没有真正的引起人们的注意。不管是开发还是测试都不太关注产品的安全。当然,这也不能怪我们苦B的“民工兄弟”。因为公司的所给我们的时间与精力只要求我们对产品的功能的实现以及保证功能的正常运行。一方面出于侥幸心理。谁没事会攻击我?

  关于安全测试方面的资料也很少,很多人所知道的是一本书,一个工具。

  一本书值《web安全测试》,这应该是安全测试领域维数不多又被大家熟知的安全测试书,我曾看过前面几个章节,唉,鄙视一下自己,做事总喜欢虎头蛇尾。写得非常好,介绍了许多安全方面的工具和知识。我觉得算你不去做专业的安全开发测试人员。起码可以开阔你的视野,使你在做开发或测试时能够考虑到产品安全方面的设计。防患于未然总是好的,如果你想成为一个的人。

  一个工具,其实本文也只是想介绍一下,这个工具----AappScan,IBM的这个web安全扫描工具被许多人熟知,相关资料也很多,因为我也摸了摸它的皮毛,所以也来人说两句,呵呵!说起sappScan,对它也颇有些感情,因为,上一份工作的时候,我摸过于测试相关的许多工具,AappScan是其它一个,当时觉得这工具这么强大,而且还这么傻瓜!!^_^! 于是,后面在面试的简历上写了这个工具,应聘现在的这家公司,几轮面试下来都问到过这个工具,因为现在这家公司一直在使用这个工具做安全方面的扫描。我想能来这家公司和我熟悉AappScan应该有一点点的关系吧!呵呵

  AappScan下载与安装

  IBM官方下载;http://download2.boulder.ibm.com ... 2-AppScan_Setup.exe

  本连接为7.8 简体中文版本的

  ****补丁;http://www.vdisk.cn/down/index/4760606A4753

  ****补丁中有相应的注册机与****步骤,生成注册码做一下替换OK了,这里不细说。

  AppScan其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的AppScan source edition,到针对WEB应用进行快速扫描的AppScan standard edition.以及进行安全管理和汇总整合的AppScan enterprise Edition等,我们经常说的AppScan是指的桌面版本的AppScan,即AppScan standard edition.其安装在Windows操作系统上,可以对网站等WEB应用进行自动化的应用安全扫描和测试。

  使用AppScan来进行扫描

  我们按照PDCA的方法论来进行规划和讨论; 建议的AppScan使用步骤:PDCA: Plan,Do,check, Action and Analysis.

  计划阶段:明确目的,进行策略性的选择和任务分解。

  1)明确目的:选择合适的扫描策略

  2)了解对象:首先进行探索,了解网站结构和规模

  3)确定策略:进行对应的配置

  a)按照目录进行扫描任务的分解

  b)按照扫描策略进行扫描任务的分解