2023年6月30日发(作者：)

杨教授工作室 精心创作的优秀程序员 职业提升必读系列资料

1.1 跟我学IBM AppScan Web安全检测工具——下载、安装和破解AppScan软件工具

1.1.1 IBM AppScan检测工具

1、IBM AppScan该产品是一个领先的 Web 应用安全测试套件工具

IBM Rational AppScan本身是一个桌面应用程序，可自动化 Web 应用的安全漏洞评估工作和在整个软件开发生命周期中管理漏洞测试，能扫描和检测所有常见的 Web 应用安全漏洞，例如 SQL 注入（SQL-Injection）、跨站点脚本攻击（Cross-Site Scripting）、缓冲区溢出（Buffer Overflow）及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。如下示图为其工作流程示图。

2、AppScan的主要特性

（1）扫描和测试

适用范围广的应用安全漏洞，并可由检测者定制相关的扫描策略——AppScan配备一套自定义的扫描策略，可以定制适合检测者需要的扫描策略。

杨教授工作室，版权所有，盗版必究， 1/13页 杨教授工作室 精心创作的优秀程序员 职业提升必读系列资料

（2）能够扫描复杂的 Web 应用

Rational AppScan 工作方式比较简单，就像一个黑盒测试工具一样，测试人员不需要了解 Web 应

用本身的结构。因为AppScan应用了爬虫原理检测Web应用系统中的各个链接及相关的页面——通过自带的“爬虫”对我们所设定的Web应用作为目标，进行“爬行（自动探索）”以发现Web应用结构。

在这个过程里面，爬虫首先请求访问页面A，通过服务器对页面A的响应，继续分析页面A中可访问的其它页面，再而访问这些页面，以此类推，再对这些被“探索”到的页面执行分析，并探索到更多的页面。

（3）高精度，先进的检测功能，包括动态和创新的混合动力分析玻璃盒测试（运行时分析），静态污点分析。

AppScan 拥有庞大完整的攻击特征库，通过在Http Request中插入测试用例的方法实现几百种应用攻击，再通过分析Http Response判断该应用是否存在相应的漏洞。

杨教授工作室，版权所有，盗版必究， 2/13页 杨教授工作室 精心创作的优秀程序员 职业提升必读系列资料

（4）快速修复——对于确定的漏洞，程序提供了相关的漏洞描述和修复方案。

测试人员可以快速的定位漏洞所在的位置，同时 AppScan 可以详细指出该漏洞的原理以及解决该漏洞的方法，帮助开发人员

迅速修复程序安全隐患。

（5）Web 应用程序的支持，包括：Adobe 的 Flash（它可以探索和测试基于Adobe的Flex框架的应用程序，也支持AMF协议），JavaScript（分析抓取HTML页面漏洞，并允许用户专注于不同的客户端问题和文档对象模型DOM为基础的XSS问题），Ajax 和简单对象访问协议（SOAP）的 Web 服务。

（6）可根据测试者的要求，生成所需格式的报告。

3、AppScan的检测过程主要分为探索和测试两个阶段

AppScan自动化扫描器有两个目标：找出所有可用的链接和攻击寻找应用程序漏洞，因此AppScan的检测过程主要分为探索和测试两个阶段。

（1）探索（Explore）

在探索阶段，AppScan试图遍历待检测Web系统中所有可用的链接——用模拟人为点击链接和填写表单的方式探测Web应用系统，并建立一个层次结构。它发出请求，并根据响应来判断哪里是一个漏洞的影响范围。例如，看到一个登陆页面，它会确定通过绕过注入来通过验证。在探索阶段中不执行任何的攻击，只是确定测试方向。

在这个阶段中，主要是通过发送的多个请求来确定Web系统的结构和即将测试的漏洞范围。

（2）测试（Test）

在测试阶段中，会对前一阶段所发现的页面进行分析，根据“攻击规则库”判断应该执行的安全测试用例包括哪些，并执行相关的测试用例——AppScan通过攻击来测试应用中的漏洞。通过释放出的实际攻击的有效载荷，来确定在探索阶段建立的安全漏洞的情况，并根据风险的严重程度进行排名。

在测试阶段中，可能会发现出Web系统的新链接。因此AppScan在探索和测试阶段完成之后，会开始另一轮的扫描，并继续重复以上的过程，直到没有新的链接可以测试。扫描的次数也可以在用户的设置中配置。

在测试阶段中，AppScan一般至少会访问两次页面。第一次访问行为与一般用户一样的正常的访问，而在第二次访问中，AppScan会根据“攻击规则库”修改其发送的Http请求，这实质上是在执行安全测试用例，结合第一次访问页面的返回正文分析，一旦服务器返回杨教授工作室，版权所有，盗版必究， 3/13页 杨教授工作室 精心创作的优秀程序员 职业提升必读系列资料

的内容符合用例的“预期目标”（例如第一次访问中没有发生的报错信息）即视为攻击成功，并记录下该安全漏洞。

（3）AppScan的工作流程图

4、AppScan可以满足项目组中不同角色的人员应用需要

在整个软件开发生命周期中的各个阶段，Rational AppScan 都可以被使用，全面的保障了软件的安全性。在软件项目的开发过程中，软件开发人员、软件测试人员、QA、审核人员等诸多角色都可以通过 AppScan 检测Web应用系统，并将漏洞尽早挖掘出来。

AppScan 使用场景的原则是最大化的提高使用效率、尽早的把问题暴露出来，为应用安全打下坚实的基础。每个企业都可以根据自身的开发现状定义适合自己的使用模式。

（1）开发人员使用 AppScan

杨教授工作室，版权所有，盗版必究， 4/13页 杨教授工作室 精心创作的优秀程序员 职业提升必读系列资料

开发人员在开发过程中可以使用 AppScan 或者专用插件，在项目程序的开发过程中随时测试相关的程序代码，最大化的保证个人开发程序的安全性。越早发现问题，解决问题的成本就越低，这为 Web 应用的安全提供了最为坚实的基础保障。

（2）测试人员使用 AppScan

系统测试人员使用 AppScan 对Web应用做全面的测试，一旦发现问题，可以快速的生成 defect，通过与ClearQuest 的集成可以实现 defect 电子化跟踪，再传递到开发人员手中，指导开发人员迅速解决问题。极大的提高了开发团队的开发效率，也提供了完整了沟通平台解决方案。

（3）审核人员上线前使用AppScan

这是系统上线前的安全质量关卡。任何系统上线都应该经过严格的上线测试，这也最大化的减少了上线后问题的出现，避免生产系统上线后给企业带来的巨额损失。

（4）上线后审计、监控人员使用 AppScan

上线的系统应该定期检测，一旦出现问题更应该及时检测，越快速的定位发现问题，损失就会越小。

5、AppScan能够发现Web应用中的安全漏洞所必须要满足的两个条件

（1）漏洞所在页面必须被自动探索（爬虫）或手动探索，并且必须包含在测试范围内；

（2）AppScan攻击规则库已经包括该漏洞的更新，能够针对该漏洞进行测试。

通过以上两个条件，我们可以了解到一些隐含的信息：

（1）自动探索（前面所说的“爬虫”）并不能通过“爬行”发现Web应用中所有的页面；

（2）自动探索无法访问到的页面可以通过手动探索发现，并添加至测试范围；

（3）自动探索或手动探索发现页面以后，并不一定就在AppScan测试范围内，这受具体扫描配置的影响；

（4）AppScan攻击规则库中必须包含该漏洞的测试，以设计测试用例，所以必须持续更新。

1.1.2 在Win8系统中安装AppScan软件工具

1、AppScan的安装环境要求

要运行Appscan的系统至少需要2GB的RAM，同时确保安装了.Net FrameWork4.0以上版和Adobe Flash来执行扫描过程中的Flash内容。

2、AppScan的安装过程

点击安装文件，将会出现AppScan的安装向导。如果在系统中还没有安装.Net

杨教授工作室，版权所有，盗版必究， 5/13页 杨教授工作室 精心创作的优秀程序员 职业提升必读系列资料

FrameWork4.0以上版，AppScan在安装过程中会自动安装这些相关的插件，并需要重新启动系统再次进行AppScan的安装。

选择安装的程序语言类型为“中文简体”，然后再点击“确定”按钮，将出现下面的界面。

由于在本系统中缺少了Visual C++ 2005 SP1的插件，因此需要安装该插件。只需要点击“安装”按钮，将进行Visual C++ 2005 SP1的插件安装过程。

杨教授工作室，版权所有，盗版必究， 6/13页 杨教授工作室 精心创作的优秀程序员 职业提升必读系列资料

一旦Visual C++ 2005 SP1的插件安装完毕，将自动地解压AppScan的压缩软件包，如下示图所示。

AppScan系统本身的安装程序解压缩完毕后，将出现下面的“接受许可协议”的结果界面。

杨教授工作室，版权所有，盗版必究， 7/13页 杨教授工作室 精心创作的优秀程序员 职业提升必读系列资料

在对话框中点击“我接受许可协议”的选择项后，将出现下面的安装界面。

在“我接受许可协议”的选择界面中，再点击“下一步”按钮，将出现下面的安装目录的选择界面。

杨教授工作室，版权所有，盗版必究， 8/13页 杨教授工作室 精心创作的优秀程序员 职业提升必读系列资料

本示例选择默认的安装目录路径，因此直接点击界面中的“安装”按钮，将开始进行AppScan系统程序的安装过程。

在安装过程中，AppScan安装程序拷贝相关的系统程序文件。

杨教授工作室，版权所有，盗版必究， 9/13页 杨教授工作室 精心创作的优秀程序员 职业提升必读系列资料

文件拷贝的过程中。

提示是否需要安装Web Service组件。

杨教授工作室，版权所有，盗版必究， 10/13页 杨教授工作室 精心创作的优秀程序员 职业提升必读系列资料

本示例最终选择“否”按钮不安装WebServices组件，然后安装程序将进入License Key

Administrator组件的安装过程中。

安装完毕后，最终出现下面的提示界面。

杨教授工作室，版权所有，盗版必究， 11/13页 杨教授工作室 精心创作的优秀程序员 职业提升必读系列资料

在安装完毕的界面中点击“完成”按钮以完成AppScan的安装过程，然后在Windows系统的程序菜单中奖会出现“IBM Security AppScan Standard”的菜单项，同时在系统桌面中也将出现“IBM Security AppScan Standard”的快捷链接。

1.1.3 破解AppScan软件工具

1、在安装的系统文件提供有破解Dll文件

只需要将 替换安装目录中的相同文件——“....IBMAppScan

杨教授工作室，版权所有，盗版必究， 12/13页 杨教授工作室 精心创作的优秀程序员 职业提升必读系列资料

Standard”目录下同名文件。

杨教授工作室，版权所有，盗版必究， 13/13页