安全测试工具(连载3)

简介: 安全测试工具(连载3)

1.3 AppScan


      RationalAppScan(简称 AppScan)是一个产品家族,它包括众多的应用安全扫描产品,从开发阶段的源代码扫描的AppScan source edition,到针对WEB应用进行快速扫描的AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的AppScan是指的桌面版本的AppScan,即AppScan standard edition。其安装在Windows操作系统上,可以对网站等Web应用进行自动化的应用安全扫描和测试。本书介绍的AppScan版本为V9.0.3.10


      AppScan特性如下。

  •  Flash支持:AppScan相对早期的版本增加了flash支持功能,它可以探索和测试基于AdobeFlex框架的应用程序,也支持AMF协议。


  •  Glass box testing:是AppScan中引入的一个新的功能。在这个过程中,安装一个代理服务器,这有助于发现隐藏的URL和其它的问题。


  • WEB服务扫描:WEB服务扫描是AppScan中具有有效自动化支持的一个扫描功能。


  •  Java脚本安全分析:AppScan中介绍了JavaScript安全性分析,分析抓取HTML页面漏洞,并允许用户专注于不同的客户端问题和DOM(文档对象模型)为基础的XSS问题。


  •  报告:根据用户要求,可以生成所需格式的报告。


  •  修复支持:对于确定的漏洞,程序提供了相关的漏洞描述和修复方案。


  •  可定制的扫描策略:AppScan配备一套自定义的扫描策略,可以定制适合需要的扫描策略。


  •  工具支持:它有像认证测试,令牌分析器和HTTP请求编辑器等,方便手动测试漏洞。


  •  AjaxDojo框架的支持。


1. “探索”和“测试”

在介绍AppScan之前,先来介绍“探索”和“测试”两个概念。

  • 探索”:去发现被扫描网站存在多少个目录、多少个页面、页面中有哪些参数等。简单说,了解被扫描网站的结构。
  • 测试”:利用“探索”的结果,使用“军火库”,发送导弹,进行安全攻击的行为。
  •  完全测试”:即先探索再测试,使用AppScan可以仅“探索”不“测试”。


2. 设置扫描

打开AppScan,点击菜单“工具->选项->记录代理”,如26所示。

image.png

26 记录代理


选择让AppScan自动选择端口(U)。外部链接选择“全部拒绝(仅接受来自本地IP 127.0.0.1的链接)”仅扫描本地网站。接下来进入“工具->选项->首选项”,如27所示。在“记录并查看浏览器”中不要选择“使用嵌入浏览器(B)”。


image.png

27 记录并查看浏览器


3. 扫描

      打开菜单“文件->新建”,选择“常规扫描”,在接下来的页面中在“我想使用以下方式进行探索”中选择AppScan(自动或手动),点击【下一步】按键,输入被测网站的URL地址。如28所示。如果连接成功会显示“已连接到服务器”的绿色字体。


image.png

28 设置AppScan被测网站


      点击【下一步】按键,在“代理”中选择“不适用代理(D)”。如29所示。

image.png

29 选择代理


      点击【下一步】按键,这里有四个选择,如30所示。

image.png

30 选择登录方式


  •  记录:使用预登录操作。
  •  提示:当AppScan遇到表单,会弹出信息填写。
  •  自动:直接自动填写登录信息。
  • 无:不登录。


点击【下一步】按键,选择测试策略,如31所示。


image.png

31 选择测试策略


      点击【下一步】按键,选择如何启动,如32所示。

image.png

32 如何启动选择


      最后点击【完成】,确认是否需要保存扫描结果。如33所示。


image.png

33 是否需要保存扫描结果


接下来,如果选择的是“完全测试”,系统将先进行“探索”然后进行“测试”操作。


扫描完毕,点击即可查看发现的问题,如34所示。


image.png

34 AppScan扫描结果


4. 设置定时扫描

      点击菜单“工具->扫描调度程序”然后点击【新建(N)…】按键,进入定时扫描界面,如35所示。


image.png

35 AppScan设置定时扫描


5. 扫描结果保存

点击菜单“文件->导出”然后选择保存的文件格式,即可把扫描结果以文件的形式进行保存。如36所示。


image.png

36 AppScan导出扫描结果


创建扫描报告


      点击菜单“工具->创建报告”或者图标,进入报告配置页面,如37所示。

image.png

37 AppScan设置报告


配置完毕,点击【保存报告(S)…】,即可保存报告,如38所示。


image.png

38 AppScan报告


      其他一些小工具,比如:“认证测试程序”“网络连接测试”“编解码器”“正则表达式测试”和“HTTP请求编辑器”,比较简单,本书不进行详细介绍。


星云测试

http://www.teststars.cc

奇林软件

http://www.kylinpet.com

联合通测

http://www.quicktesting.net


顾翔凡言:


图是软件项目三角形。

image.png

 软件项目三角形


      下面做如下假设。

  •  假设质量(Q)与范围(S)不变,时间(T)减少的情形下,必须雇佣高水平的人员或者先进的技术,即增大产品的成本(C)。同理,质量(Q)与范围不变,时间(T)增加的情形下,可以减少成本(C)。
  •  假设质量(Q)与时间(T)不变,范围(S)增加的情形下,也必须增大成本(C)。同理,质量(Q)与时间(T)不变,范围(S)减少的情形下,可以减少成本(C)。
  •  假设质量(Q)与成本(C)不变,时间(T)减少的情形下,范围(S)必须减少。同理,质量(Q)与成本(C)不变,时间(T)增加的情形下,可以加大范围(S)。

于是可以得到如下公式:

Q = TC/S

 也就是说质量消耗单位模块的时间和金钱的乘积。从这里可以看出,完成一个功能,需要达到一定的质量,必须消耗有效的时间或者增加产品的成本投入,由此可以看出为了赶进度,盲目加班赶工是不可取的。

目录
相关文章
|
28天前
|
Java 测试技术 数据安全/隐私保护
软件测试中的自动化策略与工具应用
在软件开发的快速迭代中,自动化测试以其高效、稳定的特点成为了质量保证的重要手段。本文将深入探讨自动化测试的核心概念、常见工具的应用,以及如何设计有效的自动化测试策略,旨在为读者提供一套完整的自动化测试解决方案,帮助团队提升测试效率和软件质量。
|
21天前
|
Web App开发 IDE 测试技术
Selenium:强大的 Web 自动化测试工具
Selenium 是一款强大的 Web 自动化测试工具,包括 Selenium IDE、WebDriver 和 Grid 三大组件,支持多种编程语言和跨平台操作。它能有效提高测试效率,解决跨浏览器兼容性问题,进行性能测试和数据驱动测试,尽管存在学习曲线较陡、不稳定等缺点,但其优势明显,是自动化测试领域的首选工具。
127 17
Selenium:强大的 Web 自动化测试工具
|
1月前
|
机器学习/深度学习 人工智能 算法
BALROG:基准测试工具,用于评估 LLMs 和 VLMs 在复杂动态环境中的推理能力
BALROG 是一款用于评估大型语言模型(LLMs)和视觉语言模型(VLMs)在复杂动态环境中推理能力的基准测试工具。它通过一系列挑战性的游戏环境,如 NetHack,测试模型的规划、空间推理和探索能力。BALROG 提供了一个开放且细粒度的评估框架,推动了自主代理研究的进展。
43 3
BALROG:基准测试工具,用于评估 LLMs 和 VLMs 在复杂动态环境中的推理能力
|
1月前
|
监控 测试技术 开发工具
移动端性能测试工具
移动端性能测试工具
53 2
|
1月前
|
安全 前端开发 测试技术
如何选择合适的自动化安全测试工具
选择合适的自动化安全测试工具需考虑多个因素,包括项目需求、测试目标、系统类型和技术栈,工具的功能特性、市场评价、成本和许可,以及集成性、误报率、社区支持、易用性和安全性。综合评估这些因素,可确保所选工具满足项目需求和团队能力。
|
1月前
|
安全 网络协议 关系型数据库
最好用的17个渗透测试工具
渗透测试是安全人员为防止恶意黑客利用系统漏洞而进行的操作。本文介绍了17款业内常用的渗透测试工具,涵盖网络发现、无线评估、Web应用测试、SQL注入等多个领域,包括Nmap、Aircrack-ng、Burp Suite、OWASP ZAP等,既有免费开源工具,也有付费专业软件,适用于不同需求的安全专家。
201 2
|
1月前
|
监控 网络协议 Java
一些适合性能测试脚本编写和维护的工具
一些适合性能测试脚本编写和维护的工具
|
1月前
|
Web App开发 定位技术 iOS开发
Playwright 是一个强大的工具,用于在各种浏览器上测试应用,并模拟真实设备如手机和平板。通过配置 `playwright.devices`,可以轻松模拟不同设备的用户代理、屏幕尺寸、视口等特性。此外,Playwright 还支持模拟地理位置、区域设置、时区、权限(如通知)和配色方案,使测试更加全面和真实。例如,可以在配置文件中设置全局的区域设置和时区,然后在特定测试中进行覆盖。同时,还可以动态更改地理位置和媒体类型,以适应不同的测试需求。
Playwright 是一个强大的工具,用于在各种浏览器上测试应用,并模拟真实设备如手机和平板。通过配置 `playwright.devices`,可以轻松模拟不同设备的用户代理、屏幕尺寸、视口等特性。此外,Playwright 还支持模拟地理位置、区域设置、时区、权限(如通知)和配色方案,使测试更加全面和真实。例如,可以在配置文件中设置全局的区域设置和时区,然后在特定测试中进行覆盖。同时,还可以动态更改地理位置和媒体类型,以适应不同的测试需求。
89 1
|
2月前
|
Java 流计算
Flink-03 Flink Java 3分钟上手 Stream 给 Flink-02 DataStreamSource Socket写一个测试的工具!
Flink-03 Flink Java 3分钟上手 Stream 给 Flink-02 DataStreamSource Socket写一个测试的工具!
47 1
Flink-03 Flink Java 3分钟上手 Stream 给 Flink-02 DataStreamSource Socket写一个测试的工具!
|
2月前
|
jenkins 测试技术 持续交付
提升软件测试效率的实用技巧与工具
【10月更文挑战第12天】 本文将深入探讨如何通过优化测试流程、引入自动化工具和持续集成等策略,来显著提高软件测试的效率。我们将分享一些实用的技巧和工具,帮助测试人员更高效地发现和定位问题,确保软件质量。
75 2