Tải bản đầy đủ (.doc) (123 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Hướng dẫn sử dụng rational appscan

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.7 MB, 123 trang )

Báo cáo thực tập
MỤC LỤC
CÀI ĐẶT
I.BẮT ĐẦU
I.1 Hướng dẫn sơ lược
I.1.1Main window
I.1.2 Reports
I.1.3 Toolbar trình duyệt
I.2 Hướng dẫn công việc
II – CẤU HÌNH QUÉT
II.1 Tóm tắt
II.2 Scan Configuration Wizard
II.3 Hộp thoại Scan Configuration(Cấu hình quét)
II.3.1 EXPLORE: URL and Servers
II.3.2 EXPLORE: Login Management
II.3.3 EXPLORE: Login Management Details
II.3.4 EXPLORE: Environment Definition
II.3.5 EXPLORE: Exclude Paths and Files
II.3.6 EXPLORE: Explore Options
II.3.7 EXPLORE: Parameters and Cookies
II.3.8 EXPLORE: Automatic Form Fill
II.3.9 EXPLORE: Error Pages
II.3.10 EXPLORE: Multi-Step Operations
II.3.11 EXPLORE: Content-Based
II.3.12 CONNECTION: Communication and Proxy
II.3.13 Connection: Platform Authentication
II.3.14 TEST: Test Policy
II.3.15 TEST: Test Options
II.3.16 Test: Privilege Escalation
II.3.17 Service Modules: Scan Expert
II.3.18 Service Modules: Result Expert


II.4 Scan Templates
II.4.1 Predefined templates
II.4.2 User-defined templates
III - KẾT QUẢ: PHÁT SINH BẢO MẬT
III.1 Tổng quan phát sinh bảo mật
III.2 Phát sinh bảo mật: Cây ứng dụng
III.3 Phát sinh bảo mật: Liệt kê danh sách
III.3.1. Mức độ nghiêm trọng
III.3.2. Trạng thái phát sinh: open hoặc noise
III.3.3 Kiểm tra lại
Hướng dẫn sử dụng Rational AppScan Page 1
Báo cáo thực tập
III.3.4 Menu chuột phải
III.4 Phát sinh bảo mật: Cách nhìn chi tiết
III.4.1 Thẻ thông tin phát sinh
III.4.2. Thẻ Advisory
III.4.3 Thẻ Fix Recommendation
III.4.4. Thẻ Request/Response
III.5 Các kiểm tra thủ công
III.6 Các biến thể không thể xâm nhập
IV - KẾT QUẢ: Remediation Tasks
IV.1 Remediation Tasks: Application Tree
IV.2 Remediation Tasks: Result List
IV.2.1 Tìm kiếm các Remediation Tasks trong danh sách kết quả
IV.2.2 Sắp xếp các nhiệm vụ khắc phục
IV.2.3 Thao tác với các cấp độ ưu tiên
IV.2.4 Xóa nhiệm vụ khắc phục
V – KẾT QUẢ: Application Data
V.1. Tổng quan dữ liệu ứng dụng
V.2. Dữ liệu ứng dụng: cây áp dụng

V.3. Tương tác URL
VI – BÁO CÁO
VI.1 Tổng quan báo cáo
VI.2 Các báo cáo bảo mật
VI.3 Các báo cáo chuẩn công nghiệp
VI.4 Các báo cáo theo quy tắc
VI.5 Các báo cáo phân tích Delta
VI.6 Tạo các mẫu báo cáo người dùng tự định nghĩa
VII – CÔNG CỤ
VII.1 Lên lịch quét mới
VII.1.1 Lên lịch quét mới
VII.1.2 Chỉnh sủa lịch quét
VII.1.3 Xóa 1 lịch quét
VII.1.4 Lập lịch 1 giai đoạn Kiểm tra
VII.1.5 Lập lịch 1 quét tự cài đặt
VII.2 Các kiểm tra người dùng tự định nghĩa
VII.3 Thanh toolbar tự chỉnh
VII.3.1 Điều chỉnh thứ tự các menu tool
VII.3.2 Thêm chương trình tới Tools menu
Hướng dẫn sử dụng Rational AppScan Page 2
Báo cáo thực tập
VII.4 Mở rộng
VII.5 Nhật ký
VII.5.1 Nhật kí quét
VII.5.2 Nhật kí AppScan
VII.5.3 Nhật kí cập nhật
VIII – TÙY CHỌN
VIII.1 Thẻ Scan Options
VIII.2 Thẻ Preference
VIII.3 Thẻ General

VIII.4 Thẻ Advanced
Hướng dẫn sử dụng Rational AppScan Page 3
Báo cáo thực tập
CÀI ĐẶT
Yêu cầu về hệ thống
Yêu cầu về phần cứng
Phần cứng Yêu cầu tối thiểu
Bộ vi xử lý Pentium® P4, 2.4 GHz
Bộ nhớ 1 GB RAM
Không gian đĩa 10 GB
Mạng 1 NIC 100 Mbps for network communication with configured TCP/IP
Hệ điều hành và các yêu cầu về phần mềm
Software Details
Operating
System
Windows® XP, Windows 2003 Standard and Enterprise Editions, Windows Vista
Business and Ultimate Editions
(Rational AppScan không hỗ trợ cho Vista)
Browser Microsoft® Internet Explorer Version 6 hoặc hơn
Other Microsoft .NET Framework Version 2.0 hoặc hơn (Version 3.0 hoặc hơn có 1 số lựa
chọn, các hàm)
(Tùy chọn) JRE 5.0 hoặc hơn yêu cầu công cụ tạo HTTP Proxy tool (một trong
những công cụ mạnh mẽ đi kèm Appscan). Nếu ko được cài đặt, phải chỉnh lại trong
quá trình cài đặt AppScan.
(Tùy chọn) Adobe® Flash Player 9.0.124.0 hoặc hơn cần cho việc trình diễn
(Tùy chọn) Sử dụng Word 2003 or 2007 cho việc báo cáo. Trong trường hợp dùng
Word 2003 cần phải được cập nhật
Update for Office 2003 (KB907417):
/>43CC-8A2A-6A64D6AC4670&displaylang=en
(Tùy chọn) Để quét các dịch vụ Web, các dịch vụ chung của máy trạm Generic

Service Client (GSC), cái mà được cài đặt với Rational AppScan, hỗ trợ các thuẩ
toán giải mã khác nhau. Tuy nhiên, nếu server của bạn yêu cầu các chiến lược mã
hóa cấp độ cao, GSC có khả năng thành hỗ trợ mà không cần thư viện bảo mật (.jar
file). "BouncyCastle" () là 1 nhà cung cấp các thư viện
bảo mật mà có thể chứa đựng các chiến lược.
Hướng dẫn sử dụng Rational AppScan Page 4
Báo cáo thực tập
Chú ý:
1 tường lửa đang chạy trên cùng có cài Rational Appscan có thể bị block và kết quả làm cho việc tìm
kiếm sai lạc. Do vậy cần tắt tường lửa trước khi chạy Rational AppScan
Vị trí file tạm
Mô tả nơi AppScan lưu trữ các file tạm trong suốt quá trình thực thi .
Theo mặc định, Rational AppScan lưu trữ các file tạm ở:
C:\Documents and Settings\All Users\Application Data\IBM\Rational AppScan\temp
Nếu cần viết đè vị trí mặc định này cho bất kì lí do nào, chỉnh sửa đường dẫn trong tham biến
APPSCAN_TEMP
Chỉnh sửa: My ComputerPropertiesAdvanced Environmental Variables
Cài đặt
Tổng quát
1. Đóng tất cả các ứng dụng Microsoft Office đang mở
Lưu ý: Nếu bạn có Microsoft Word 2003 hoặc cao hơn được cài đặt, Rational AppScan sẽ tự
động them vào như lựa chọn bắt buộc. Có thể được dùng để chèn các trường mã cho việc tạo các
mẫu báo cáo. Do đó, Microsoft Word và bất cứ chương trình Microsoft Offiece sử dụng nó (như
là Microsoft Outlook) phải được đóng trong suốt quá trình cài đặt.
2. Thiết lập Rational AppScan
Bắt đầu cài đặt, tiến trình cài đặt kiểm tra các yêu cầu tối thiểu
Lưu ý: Phụ thuộc vào hệ điều hành, .NET Framework Version 2.0 hoặc 3.0 có thể được yêu cầu
để thực thi Ration AppScan. Nếu bạn có 1 phiên bản trước đó, hoặc chưa có, sẽ được hỏi phiên
bản cần cài
- Nếu chọn Yes, .NET được cài đặt. Hỏi để khởi đông máy tính sau khi nó được cài.

- Nếu chọn No, cài đặt dừngm Rational AppScan không thể hoạt động với phiên bản .NET
Framwework hiện có
Nếu đang sử dụng phiên bản 6.0 trở lên, 1 thông điệp xuất hiện thông báo sẽ cập nhật phiên bản
cuối cùng (Không thể chạy 2 phiên bản trên 1 máy, phiên bản trước đó sẽ tự động loại bỏ)
3. Theo các chỉ thị để hoàn thành cài đặt
Lưu ý: Sẽ được hỏi để cài đặt hoặc doynload GSC. Cần để triển khai các dịch vụ Web theo thứ tự
để cấu hình 1 bộ quét dịch vụ Web(nếu không chỉ quét ứng dụng Web)
I.BẮT ĐẦU
I.1 Hướng dẫn sơ lược
Hướng dẫn sử dụng Rational AppScan Page 5
Báo cáo thực tập
I.1.1Main window
Menu:
• File menu
• Edit menu
• View menu
• Scan menu
• Tools menu
• Help menu
File menu
Dùng để tạo, mở và lưu
Câu lệnh Tác dụng
New Tạo quét mới
Open Mở quét đã có
Save Lưu quét hiện thời
Save As Lưu quét hiện thời với 1 tên mới
Export > Scan
Results as XML
Xuất kết quả theo dạng XML
Export > Scan

Results as DB
Xuất kết quả theo kiểu CSDL. CSDL lựa chọn để xuất kết quả theo cấu trúc
Firebird. Đây là mã nguồn mở, theo chuẩn ODBC và JDBC
Export > Cross Scan
Data
Nếu có định nghĩa như Noise (False Positive- Cảnh báo sai), có thể xuất
thông tin này để dùng quét cho nhiều máy khác nhau. (Không cần làm điều
này trên từng máy, thông tin sẽ được tự động lưu trữ và thử nghiệm ở lần
quét sau)
Import > Explore
Data
Load 1 file đã được export.
Import > Cross Scan
Data
Nếu ấn bản chỉ định có dạng Noise (False Positives – Cảnh báo sai) trên 1
máy khác nhau và đã được xuất, có thể nhập thông tin này sử dụng trong
việc quét trên máy riêng, để những ấn bản này không xuất hiện trong kết
quả.
Page Setup Định nghĩa kích cỡ trang, nguồn, định hướng và lề để In.
Print Preview Xem trước khi In
Hướng dẫn sử dụng Rational AppScan Page 6
Báo cáo thực tập
Câu lệnh Tác dụng
Print In Cây ứng dụng hiện tại hoặc danh sách kết quả(phụ thuộc vào vị trí con
trỏ hiện tại).
filenames Các file được sử dụng gần đây.
Exit Thoát
Edit menu
Dùng để tùy chỉnh kết quả quét.
Câu lệnh Tác dụng

Delete Xóa phần phát sinh vừa chọn hoặc vừa bổ sung.
Severity (Phát sinh chỉ xem) Tùy chỉnh mức độ nghiêm trọng của phát sinh.
State (Phát sinh chỉ xem) Chỉ định phát sinh vừa chọn là "Noise(Nhiễu)" (nghĩa là
mặc dù AppScan xếp nó vào như một phát sinh, trong ngữ cảnh thuộc ứng dụng
đang chạy) Những phát sinh mà được chỉ định như Noise có thể được loại bỏ
hoặc bị đánh dấu (View menu  Show Issues Marked as Noise).
Priority (Chỉ xem sự bổ sung) Thay đổi cấp độ ưu tiên của sự bổ sung.
Find Tìm các chuỗi, IDs, mã HTTP,v.v trong các kết quả quét hiện tại(Tùy chọn phụ
thuộc vào dạng View được chọn hiện tại)
Lưu ý: Độ nghiêm trọng và độ ưu tiên loại trừ lẫn nhau, mỗi 1 cái chỉ có tại 1 thời điểm,
phụ thuộc vào xem dạng nào
View menu
Dùng để xác định làm thế nào cửa số win xuất hiện và dữ liệu hiển thị như nào
Câu lệnh Tác dụng
Security Issues Hiển thị các phát sinh bảo mật
Remediation Tasks Hiển thị các loại trừ
Application Data Hiển thị dữ liệu (broken links, URLs đã viếng thăm, các tham biến, các
URL tương tác, cookies, and so on).
Arrange By > Chọn 1 phương pháp sắp xếp cho việc hiển thị kết quả:
Severity/Result/Name.
Chọn Reverse Order để liệt kê kết quả theo kiểu xổ xuống
Hướng dẫn sử dụng Rational AppScan Page 7
Báo cáo thực tập
Câu lệnh Tác dụng
Resize Panes Mở 1 toolbar với 4 mũi tên để điều chỉnh khung pane
View Selector Ẩn/Hiện View Selector.
Welcome Screen Mở màn hình chào mừng AppScan
Show Issues
Marked as Noise
Những phát sinh AppScan tìm ra, mà không liên quan đến ngữ cảnh của

ứng dụng, thì được đánh dấu như là Nhiễu. Khi chọn, Nhiễu xuất hiện với
dấu gạch ngang, khi không được chọn, Nhiễu không được chỉ ra
Non-vulnerable
Variants
Mở danh sách các biến đổi được định nghĩa không thể tấn công
Scan Log Mở nhật ký tất cả các hoạt động của AppScan trong suốt quá trình quét
hiện tại
Customize Toolbar
>
Chọn Large Icons để hiển thị các biểu tượng toolbar lớn
Scan menu
Dùng để điều khiển việc quét
Câu lệnh Tác dụng
Full Scan Bắt đầu quét đầy đủ (bao gồm các giai đoạn Explore và Test)
Pause Dừng quét (ngay khi chạy Full Scan, Explore Only hoặc Test Only).
Có thể khôi phục lại việc quét sau. Cũng có thể lưu lại việc dừng quét để
tiếp tục vào lần sau
Re-Scan > Chạy quét lại. Chọn 1 trong khuyến cáo sau:
Re-Scan (Full): Xóa tất cả các kết quả quét và chạy quét đầy đủ sử dụng
cấu hình hiện tại
Re-Explore: Xóa tất cả các kết quả quét và chạy Explore chỉ sử dụng
cấu hình hiện tại
Re-Test: Xóa kết quả quét và chạy Test mới sử dụng cấu hình hiện tại
Explore Only Chạy Explore không có giai đoạn Test
Manual Explore Xem xét site đang chọn
Explore Web Services Mở dịch vụ máy trạm Generic Service Client, có thể tùy chỉnh explore
ứng dụng. Các yêu cầu và hồi đáp được sử dụng trong suốt giai đoạn
Hướng dẫn sử dụng Rational AppScan Page 8
Báo cáo thực tập
Câu lệnh Tác dụng

Test.
Test Only Chỉ chạy Test (hoặc tiếp tục 1 Test đang dừng), mà không phải lần đầu
chạy Explore. Tùy chọn chỉ hiện ra khi đã có 1 vài kết quả Explore
Scan Multi-Step
Operations Only
Nếu đã cấu hình một hoặc nhiều Multi-Step Operations, và tạo thành 1
tập con đặc biệt mà muốn quét
Lưu ý: Scan Expert không chạy tự động trước tùy chọn này, ngay khi
cấu hình trước khi quét. Nếu được yêu cầu, chạy quét riêng trước khi
quét Multi-Step Operations Only.
Clear All Scan Data Xóa tất cả kết quả Explore và Test, chỉ giữ cấu hình quét
Run Scan Expert
Evaluation
Scan Expert tính toán có hay không cấu hình hiện tại là tổt nhất cho ứng
dụng trước khi quét
Tùy chọn này chạy tính toán đầy đủ: Scan Expert sẽ explore ngắn gọn
ứng dụng, phân tích sự phản hồi, gợi ý thay đổi cấu hình để đạt kết quả
tốt nhất
Run Scan Expert
Analysis Only
Tùy chọn này chỉ chạy giai đoạn Analysis, và chỉ được kich hoạt nếu đã
có một vài kết quả quét trên phân tích cơ bản. Scan Expert sẽ phân tích
các kết quả hiện tại để xác định có cấu hình tốt nhất hay chưa
Enable Scan Expert
before Scan
(Toggles on/off) Khi mục này xuất hiện, Scan Expert chạy tự động mỗi
khi (Explore và Test) hoặc Explore Only được chạy
Scan Configuration Cấu hình quét
Tools menu
Cung cấp báo cáo khác nhau và các công cụ tùy chỉnh, bao gồm IBM® Rational® PowerTools.

Câu lệnh Tác dụng
Report Tạo 1 báo cáo cho quét hiện tại
Manual Test Tạo và gửi biến đổi tới URL được chọn.
(Thuộc tính này không có trong phiên bản AppScan Developer Edition.)
Run Result Expert (Chỉ kích hoạt nếu đã có một vài kết quả quét)
Scan Scheduler Thiết lập thời gian và tần số cho việc quét tự động
User-Defined Tests Định nghĩa các kiểm tra mới cho việc quét
(Thuộc tính này không có trong phiên bản AppScan Developer Edition.)
Extensions >
Hướng dẫn sử dụng Rational AppScan Page 9
Báo cáo thực tập
Câu lệnh Tác dụng
>Start Pyscan Mở Pyscan để điều khiển AppScan sử dụng giao diện Python
>Extension
Manager
Mở Extension Manager để quản lý các add-on
PowerTools >
>Authentication
Tester
Chạy Authentication Tester PowerTool để brute-force các xác thực
>Connection Test Chạy Connection Test PowerTool để ping websites không sử dụng giao
thức ping (có khả năng bị đóng bởi các tường lửa).
>EncodeDecode Chạy EncodeDecode PowerTool cho chuỗi mã hóa/giải mã giữa các định
dạng khác nhau
>ExpressionTest Chạy ExpressionTest PowerTool để kiểm tra các biểu thức thông thường
>HTTP Request
Editor
Chạy HTTP Request Editor PowerTool để chỉnh sửa và gửi các yêu cầu
HTTP requests, và hiện các phản hồi
>Token Analyzer Chạy Token Analyzer PowerTool để phân tích các phiên token ngẫu nhiên

>External Tools Mở hộp thoại để
• Kiểm duyệt thứ tự PowerTools trong menu Tools
• Thêm các chương trình mở rộng mà được mở từ menu Tools
AppScan Enterprise Cấu hình thông tin đăng nhập AppScan Enterprise Server, nếu tổ chức chạy
AppScan Enterprise.
Options Tùy chỉnh các hành động Rational AppScan
Help menu
Dùng để lấy tài liệu, hỗ trợ, giúp đỡ và license
Câu lệnh Tác dụng
Rational® AppScan
Help
Mở trợ giúp trực tuyến - F1.
Rational AppScan
User Guide
Mở hướng dẫn người dùng định dạng file PDF (yêu cầu Adobe® Acrobat
Reader).
AppScan Getting
Started
Mở hướng dẫn thao tác làm quen Rational AppScan định dạng PDF (yêu
cầu Adobe Acrobat Reader).
Hướng dẫn sử dụng Rational AppScan Page 10
Báo cáo thực tập
Câu lệnh Tác dụng
AppScan Web Site Mở website IBM® Rational's AppScan
License Cài đặt hoặc yêu cầu 1 license mới
Support > 3 mode:
• Extended Support Mode,
• Encrypt Support Files,
• contact IBM Support.
Extended Support Mode tạo các nhật kí mức chi tiết cho mỗi hành động

để cho phép giải quyết khó khăn bởi đội ngũ hỗ trợ IBM. Cái này có thể
làm chậm AppScan, chỉ nên bật khi cần
AppScan Log Mở file nhật ký hệ thống
Check for Updates Gửi 1 yêu cầu về khi có lỗi bảo mật mới để them vào phiên bản của
Rational AppScan.
Update Log Mở 1 nhật ký của các bản cập nhật
About IBM Rational
Rational AppScan
Hiện thông tin sản phẩm
Toolbar
Các nút trên toolbar dùng để truy cập 1 cách nhanh chóng tới các thuộc tính thường dùng (đã có
sẵn trong các menu).
Nút Tên Tác dụng
New Tạo quét mới (có thể tích chọn Launch Scan Configuration Wizard.)
Open Load 1 quét đã có hoặc 1 mẫu quét
Save Lưu quét hiện tại

Print In sơ đồ ứng dụng và chi tiết khung Pane (Security Issues,
Remediation Tasks or Application Data). Các nút sẽ được mở rộng
trên màn hình

Scan > (Chỉ sẵn có nếu 1 quét được load và được cấu hình) Mở 1 menu quét
đơn giản, với các lựa chọn
Hướng dẫn sử dụng Rational AppScan Page 11
Báo cáo thực tập
Nút Tên Tác dụng
Full Scan: Bắt đầu quét đầy đủ (các giai đoạn Explore và Test) hoặc
tiếp tục 1 quét đang dừng
Explore Only: Chỉ chạy giai đoạn Explore (hoặc tiếp tục 1 Explore
đang dừng), không có giai đoạn Test.

Test Only: Chỉ chạy giai đoạn Test(hoặc tiếp tục Test đang dừng),
không phải lần chạy đầu tiên của giai đoạn Explore. Mục này chỉ kích
hoạt nếu đã có 1 vài kết quả Explore

Pause Scan (Chỉ kick hoạt khi 1 quét đang chạy). Dừng quét hiện tại (bất kể Full
Scan, Explore Only hay Test Only).
Có thể khôi phục lại quét sau. Cũng có thể lưu lại để tiếp tục vào 1
thời điểm khác
Manual
Explore
Mở trình duyệt web tới địa chỉ URL định trước, với đầy đủ các tham
biến yêu cầu. AppScan sau đó

Scan
Configuration
Mở hội thoại cấu hình quét

Scan Expert > Chạy Scan Expert để tính toán cấu hình hiện tại và gợi ý thay đổi.
Chọn:
Scan Expert Evaluation
Scan Expert Analysis Only (Tùy chọn này chỉ dùng khi đã có 1 vài kết
quả Explore có thể phân tích được)

Scan Log Hiển thị Scan Log trong suốt quá trình quét hoặc sau (Liệt kê tất diễn
biến của Rational® AppScan trong suốt quá trình quét)

Find Tìm 1 phát sinh (Chỉ có khi hiện các phát sinh)

Create Report Tạo 1 báo cáo với dữ liệu quét hiện tại


Update Kiểm tra và download nếu cầu các cập nhật của Rational AppScan
Keyboard Shortcuts
AppScan sử dụng các từ khóa bàn phím sau
Table 1. Keyboard Shortcuts
Shortcut Function
Hướng dẫn sử dụng Rational AppScan Page 12
Báo cáo thực tập
Table 1. Keyboard Shortcuts
Shortcut Function
F2 Hiển thị các phát sinh bảo mật
F3 Hiển thị việc sửa chữa
F4 Hiển thị dữ liệu
F10 Mở hộp thoại cấu hình
[Ctrl] + W Mở màn hình chào mừng
View selector
Có thể điều khiển các nút bằng cách sử dụng từ khóa bàn phím F2, F3 và F4
Khi chọn mỗi cách hiển thị trong View Selector, thông tin hiển thị theo Application Tree(Mô
hình cây), Result List(Danh sách kết quả) và Detail Pane (Chi tiết). 3 phần được tổng kết thành
bảng sau
Security
Issues view
Hiển thị các phát sinh, từ cấp độ thấp cho tới các yêu cầu/phản hổi cá
biệt. Mặc định thì
Application Tree: Cây hoàn chỉnh. Mỗi 1 mục có thông báo về số
lượng các phát sinh có trong mục đóResult List: Lists issues for the
selected note in the application tree, and the severity of each issue.
Detail Pane: Hiển thị advisory, fix recommendations và
request/response (bao gồm tất cả các biến thể được sử dụng) cho mỗi
phát sinh được chọn trong danh sách
Keyboard shortcut: F2

Remediation
Tasks view
Cung cấp 1 danh sách đề nghị sửa chưa các phát sinh tìm thấy
Application Tree: Cây hoàn chỉnh. Mỗi mục hiển thị số lượng cần sửa
chữa trong đó
Result List: Liệt kê các bước sửa chữa cho mỗi nút được chọn trong
cây và độ ưu tiên cho mỗi bước
Detail Pane: Hiển thị chi tiết các bước điều trị trong kết quả, và tất cả
các phát sinh được sửa chữa
Hướng dẫn sử dụng Rational AppScan Page 13
Báo cáo thực tập
Keyboard shortcut: F3
Application
Data view
Hiển thị các tham biến kịch bản, các URL liên kết, các URL đã nhập,
các đường dẫn hỏng, các URL được lọc, các bình luận, JavaScripts và
các cookie từ giai đoạn Explore
Application Tree: Cây hoàn chỉnh
Result List: Chọn một phép lọc từ danh sách pop-up trong kết quả để
xác dịnh thông tin nào được hiện ra.
Detail Pane: Danh sách lọc: tham biến kịch bản, các URL liên kết, các
URL đã nhập, các đường dẫn hỏng, các URL được lọc, các bình luận,
JavaScripts và các cookie. Không giống 2 nút trên, Application data có
ngay khi AppScan chỉ hoàn thành giai đoạn Explore.
Keyboard shortcut: F4
Application Tree
Application Tree là 1 phương thức liệt kê theo mô hình cây các thư mục, URL, và các files mà
Rational® AppScan tìm thấy trong ứng dụng
Lưu ý: Trong trường hợp các ứng dụng không có cấu trúc URL theo thứ bậc, như các ứng dụng hàm đầu
vào đơn lẻ(MVC), hoặc các ứng dụng mà cấu trúc thứ tự không theo logic, có thể tạo 1 cây ứng dụng theo

ngữ cảnh, bằng cách định nghĩa 1 tập các biểu thức thông thường mà trích xuất đường dẫn logic từ các
trang
Hướng dẫn sử dụng Rational AppScan Page 14
Báo cáo thực tập
Application Tree icons
Mỗi loại nút trong Application Tree được chỉ rõ bởi biểu tượng riêng
Biểu
tượng Chỉ dẫn
Ứng dụng, nút gốc
Host quét
Nếu thiết lập thêm các server hoặc các tên miền, hoặc nếu có 1 server trên các cổng khác
nhau thì sẽ có nhiều nút này.
Thư mục tìm thấy trong ứng dụng
Gạch chéo; các kết quả test đối với thư mục cha
File tìm thấy trong ứng dụng
1 dấu gạch đỏ X trên bất cứ biểu tượng nào trong Application Tree chỉ ra rằng nút và tất
cả các nút con của nó bị ngăn chặn bởi người dùng (Để cho phép quét nút này, click
chuột phải chọn Include in Scan.)
Application Tree counters
Số trong ngoặc đơn bên cạnh mỗi nút biểu thị số lượng các nút con cần xem xét lại
Khung danh sách liệt kê
Hướng dẫn sử dụng Rational AppScan Page 15
Báo cáo thực tập
Liệt kê danh sách các phát sinh bảo mật
Liệt kê kết quả hiển thị các phát sinh tìm thấy trong quá trình quét. Trong suốt quá trình quét,
luôn hiển thị các phát sinh bảo mật
Mỗi phát sinh được phân loại với 1 cấp độ bảo mật theo bảng sau
Biểu
tượng Chỉ dẫn


Độ nghiêm trọng mức cao

Độ nghiêm trọng mức vừa

Độ nghiêm trọng mức thấp

Thông tin

(Dưới phát sinh) URL liên quan đến phát sinh này

(Dưới phát sinh > URL:) thông số liên quan đến phát sinh
Tùy chọn cho mỗi phát sinh
Khi click chuột phải vào mỗi mục trong danh sách liệt kê, 1 menu ngữ cảnh xuất hiện để xử lí
với từng mục
Mục Miêu tả
Severity Thay đổi cấp độ bảo mật của một phát sinh,
Re-Test Gửi lại các kiểm tra cho phát sinh này
Delete Loại bỏ phát sinh từ danh sach liệt kê
Report False-Positive Tạo 1 file zip của dữ liệu kiểm tra và gắn nó vào 1 email, gửi tới IBM để
Hướng dẫn sử dụng Rational AppScan Page 16
Báo cáo thực tập
Mục Miêu tả
nhận phản hồi các kết quả có khả năng là cảnh báo sai.
Manual Test Mở hộp thoại Manual Test
Copy URL Copy URL chọn vào clipboard.
Liệt kê danh sách các bước sửa chữa
Liệt kê danh sách sửa chưa hiển thị các gợi ý cho mỗi phát sinh
Biểu
tượng Chỉ dẫn


Độ ưu tiên mức cao

Độ ưu tiên mức vừa

Độ ưu tiên mức thấp

Đường dẫn tới bước xử lí tương ứng

URL cho bước xử lí tương ứng

URL: thông số liên quan đến bước xử lí
Tùy chọn cho mỗi bước sửa chữa
Nếu Click chuột phải vào một mục trong danh sách liệt kê, menu ngữ cảnh xuất hiện với các tùy
chọn
Hướng dẫn sử dụng Rational AppScan Page 17
Báo cáo thực tập
Table 2. Result List - Remediation Right-Click Menu
Item Description
Priority Thay đổi cấp độ của 1 sự sửa chữa
Delete Loại bỏ việc sửa chữa trong danh sách
Copy URL Sao chép URL vào clipboard.
Danh sách liệt kê dữ liệu
Liệt kê danh sách theo dữ liệu hiển thị nội dung tim thấy trên website
Biểu tượng Indicates
Script Parameters
Cookies
Comments
JavaScripts
Visited URLs
Interactive URLs

XML
Filtered URLs
Broken Links
Hướng dẫn sử dụng Rational AppScan Page 18
Báo cáo thực tập
Tùy chọn danh sách liệt kê dữ liệu
Click chuột phải vào mỗi mục trong danh sách liệt kê sẽ xuất hiện menu ngữ cảnh để tùy chỉnh:
Mục Chi tiết
Show in Browser Mở trình duyệt web để chọn URL hoặc trang mà được thừa nhận như là
phản hồi từ 1 link hỏng
Copy URL Sao chép URL vào clipboard
Manual Test Mở hộp thoại Manual Test
Retry All Broken
Links
Re-explores và kiểm tra các URL nhận định là link hỏng
Manual Explore Bắt đầu một Manual Explore
Khung chi tiết
Khung chi tiết các phát sinh bảo mật
Khung chi tiết xuất hiện khi chọn Security Issues trong View Selector và 1 mục trong danh sách
liệt kê. Khung này có 4 tabs:
• Issue Information Tab: Khái quát thông tin về phát sinh đã chọn.
• Advisory Tab: Chi tiết của phát sinh với các liên kết tới thông tin bổ sung và flash minh
họa
• Fix Recommendations tab: Chỉ rõ chi tiết phương án để fix ứng dụng web
• Request/Response Tab: Rational® AppScan kiểm tra yêu cầu và phản hồi của ứng
dụng. Tab này có toolbar riêng
3 tab thuộc tính, góc bên phải tab Request/Response, cung cấp chi tiết và nhiều tuỳ chọn hơn cho
biến thể hiện tại. Có thể hiện/ẩn bằng cách chọn selecting/deselecting checkbox ở góc trên bên
phải của tab Request/Response.
Hướng dẫn sử dụng Rational AppScan Page 19

Báo cáo thực tập
Table 1. Properties tabs
Tab Hàm
Variant
Details
Tab con này gồm:
ID: Cần khi muốn nhận sự trợ giúp
Difference: Chi tiết về sự khác nhau giữa biến thế này và nguyên bản
Reasoning: Giải thích lí do phản hồi này được công nhận như phát sinh bảo mật
Screenshot Tab này đưa ra 1 liên kết mà khi click vào đó thì mở ra trình duyệt gắn trên đó là
biến thể dạng này
Khi tạo 1 báo cáo, screenshot này sẽ cho phép người xem biết được biến thể dạng
1 trang web
Comments Chú thích tất cả vấn đề liên quan tới biến thể này, cái này lưu cùng với việc lưu
quét
Click chuột phải vào tab Request/Response xuất hiện các câu lênh sau:
• Các câu lệnh chỉnh sửa text: Cut, Copy, Paste, Select All.
• Find (Alt + F3) – tìm 1 chuỗi trong Details.
• Các câu lệnh về hiển thị: Increase/Decrease Font Size (Alt + Up/Down) và Word
Wrap.
• Page Setup và Print
Khung chi tiết các bước sửa chữa
Khi lựa chọn nút Remediation Tasks trong View Selector, Khung Detail Pane hiển thị các bước
sửa chữa cho phát sinh được chọn trong danh sách liệt kê
Khung này bao gồm: tên bước xử lí, định danh phát sinh và các chi tiết về gợi ý sửa chữa
Khung chi tiết dữ liệu
Khi Application Data được chọn trong View Selector, khung chi tiết hiển thị trạng thái khác
nhau của dữ liệu, phụ thuộc vào phát sinh được chọn(trong Combo Box bên trên khung chi tiết)
Data Type Details Displayed Available Features
Visited URLs Yêu cầu/phản hồi Hiển thị trong trình duyệt, chạy kiểm tra bằng

tay
Script
Parameters
Thuộc tính tham biến: tên và giá trị
Hướng dẫn sử dụng Rational AppScan Page 20
Báo cáo thực tập
Data Type Details Displayed Available Features
Interactive
URLs
Yêu cầu/phản hồi Explore URL này
Broken Links Yêu cầu/phản hồi Hiển thị trong trình duyệt
Filtered URLs Yêu cầu/phản hồi Hiển thị trong trình duyệt
Comments entire comment
JavaScripts Mã JavaScript™
Cookies Các thuộc tính Cookie: Name(Tên), Value(Giá trị), Path(Đường dẫn),
Domain(Tên miền), Expires(Hiệu lực), Secure (true/false), Request URL(URL
yêu cầu)
Scan panels
Tiến trình và các khung thông báo
Progress panel
Khung tiến trình xuất hiện bên trên Danh sách liệt kê trong suốt quá trình quét. Nó xuất hiện khi
bắt đầu quét và hiển thị thông tin tiến trình trong khi quét tiếp tục
Scan notice panel
Khung Scan Notice Panel xuất hiện nếu Rational® AppScan không thể kết nối tới web server
hoặc nếu quét bị dừng lại trước khi hoàn thành. Nó hiển thị thông tin hữu ích (như là "Server
Down", hoặc "Scan is Incomplete"), với 1 liên kết để mở hộp thoại hiển thị chi tiết
Status bar
ThanhStatus Bar ở phía dưới cửa sổ chính hiển thị thông tin đang quét hoặc được load
Hướng dẫn sử dụng Rational AppScan Page 21
Báo cáo thực tập

Số trên thanh Status chỉ ra: URLs (giai đoạn test/explore) đã thăm, đang kiểm tra (giai đoạn
test/explore stage), và các phát sinh bảo mật khám phá trong quét hiện tại.
Biểu
tượng Chỉ
Số lượng URL đã qua/ số lượng URL sẽ được thăm
Số lượng các kiểm tra gửi/số lượng các kiểm tra phát sinh và được gửi
Số lượng các phát sinh được khám phá
Số lượng các phát sinh bảo mật mức độ cao
Số lượng các phát sinh bảo mật mức độ vừa
Số lượng các phát sinh bảo mật mức độ thấp
Số lượng các thông tin phát sinh
I.1.2 Reports
Có 4 loại báo cáo cơ bản, được miêu tả bên dưới.
Lưu ý: Báo cáo dạng Industry Standard và Regulatory Compliance không có trong bản
AppScan's Developer Edition.
Table 1. Report Type Summary
Biểu
tượng Báo cáo Tùy chọn
Security Báo cáo của các phát sinh bảo mật tìm thấy trong suốt quá trình quét.
Thông tin bảo mật rất rộng, có thể được lọc phụ thuộc vào từng yêu cầu.
Có 6 mẫu tiêu chuẩn cho báo cáo dạng này, nhưng mỗi cái có thể dễ dàng
được điều chỉnh để thêm vào hoặc loại trừ thông tin, nếu cần thiết.
Industry
Standard
Báo cáo theo chuẩn của ủy ban công nghiệp
Hướng dẫn sử dụng Rational AppScan Page 22
Báo cáo thực tập
Table 1. Report Type Summary
Biểu
tượng Báo cáo Tùy chọn

Regulatory
Compliance
Báo cáo theo các chuẩn thông thường
Delta
Analysis
Báo cáo Delta Analysis so sánh 2 tập hợp kết quả qué và hiển thị sự khác
nhau trong URL và các phát sinh bảo mật được tìm thấy.
Template
Based
Tùy chọn báo cáo dùng dữ liệu do người dùng tự định nghĩa và định dạng
văn bản cũng do người dùng tự định nghĩa
I.1.3 Toolbar trình duyệt
Table 1. AppScan Browser Biểu tượngs
Nút Miêu tả
Trở lại
Đi tiếp
Dừng
Làm mới
Duyệt đến URL mặc định
Để trang hiện tại làm URL bắt đầu
Chụp hình trang này
I.2 Hướng dẫn công việc
Step 1: Các bước cơ bản cấu hình quét
1. Mở AppScan.
Màn hình Welcome xuất hiện. (hoặc, click File  New)
2. Kiểm tra Launch Scan Configuration Wizard checkbox được tich, click Predefined
Template.
Hướng dẫn sử dụng Rational AppScan Page 23
Báo cáo thực tập
Hộp thoại Scan Configuration Wizard xuất hiện.

3. Để quét 1 ứng dụng, chọn Web Application Scan radio button, sau đó click Next.
Bước URL and Servers xuất hiện
Lưu ý: Nếu chọn Web Services Scan thì sẽ khác nhau chút ít, và khi đóng Generic
Service Client (GSC), cho phép bạn đặt các tham biến mà Rational® AppScan sẽ dùng
trong giai đoạn Test
Đánh địa chỉ ứng dụng web vào text box, sau đó click Next.
Bước Login Management xuất hiện
4. Click Record Login.
Tất cả các hành động, cho đến khi click nút Pause, được lưu lại trong Rational AppScan.
5. Đăng nhập vào ứng dụng với user name và password, điền đầy đủ các trường và click vào
links.
6. Khi đăng nhập vào ứng dụng, có thể click Pause hoặc đơn giản đóng trình duyệt.
"Login Sequence" (chuỗi các liên kết gắn vào trạng thái logged-in) được hiển thị trong
pane
Click Next.
Bước Test Policy xuất hiện.
7. Click Next.
Bước cuối cùng xuất hiện.
Step 2: Chạy quét
1. Chọn Start a full automatic scan, Click Finish
Trình wizard đóng lại và khung Scan Expert mở ra để ước lượng cấu hình hiện tại cho
website. 1 danh sách cấu hình đề nghị xuất hiện.
Lưu ý: Nếu có bất cứ sự thay đổi nào mà AppScan không thể thực hiện được, hộp kiểm
của nó sẽ có màu xám và không được tich. Để cung cấp yêu cầu đầu vào cho những thay
đổi này, click và liên kết
2. Click Apply Recommendations
Step 3: Reviewing Scan Results
Hướng dẫn sử dụng Rational AppScan Page 24
Báo cáo thực tập
Khi đã quét xong, các kết quả được hiển thị trong cửa sổ chính và chia làm 3 khung: Application

Tree, Result List, Detail Pane. Loại thông tin trong mỗi khung phụ thuộc vào việc lựa chọn loại
View (mặc định là Security Issues View).
Có 3 phương thức View
• Security Issues view
• Remediation Tasks view
• Application Data view
Step 4: Báo cáo kết quả
Có 2 cách làm việc với đội ngũ khác
• Gửi báo cáo
• Chỉ trao đổi phát sinh đặc biệt
II – CẤU HÌNH QUÉT
II.1 Tóm tắt
Quét là 1 tiến trình bao gồm explore và kiểm tra
Có 2 bước để bắt đầu quét
• Scan Configuration Wizard dùng để định dạng wizard
- Có 1 AppScan mới
- Nhiều thiết lập theo chuẩn
- Không cần thay đổi thiết lập giữa các lần quét, và được lưu lại thành mẫu quét với chỉ
dẫn riêng
• Scan Configuration dialog box dùng để cấu hình quét
- Cần để tùy chỉnh nhiều thiết lập cho 1 quét
- Muốn tạo và lưu mẫu quét
Hướng dẫn sử dụng Rational AppScan Page 25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×