APPSCAN安装手册_百度文库
赠送免券下载特权
10W篇文档免费专享
部分付费文档8折起
每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
APPSCAN安装手册
阅读已结束，下载本文需要
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，同时保存到云知识，更方便管理
加入VIP
还剩3页未读，
定制HR最喜欢的简历
你可能喜欢请教大家 IBM AppScan 出现 保存配置失败怎么解决？谢谢！_百度知道
请教大家 IBM AppScan 出现 保存配置失败怎么解决？谢谢！
我有更好的答案
决方案:为了防止Rational AppScan因为超过内存限度而停止工作，可以进行相应的设定使Rational AppScan当内存使用量相对过大时自动重新启动。 这样当扫描因为剩余的虚拟内存量过低从而被迫停止时，Rational AppScan会监测系统注册表的设定来决定是否重新启动。
为您推荐：
其他类似问题
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。AppScan在源码检测环境中的安装部署
　作者: 邢乃乾　编辑:
　　3. AppScan安装配置　　3.1 安装需求　　AppScan Enterprise和AppScan Source组件的安装需要正确的软硬件、操作系统和其他因素的支持，表2提供了该软件所需的硬件和软件摘要，根据项目的实际需求，源码检测的部署环境为标准桌面型部署，此方案仅使用AppScan Enterprise Server的“用户管理”组件来进行AppScan Source部署，该方案所要满足的需求如下表所示：　　表2：安装需求　　注意：如果是在Linux64位系统上面安装AppScan Source，需要预先安装以下32位库才能成功安装AppScan Source：　　l libX11.i686　　l libXtst.i686　　l gtk2.i686　　l glibc.i686　　l libgcc.i686　　l webkitgtk.i686　　3.2 拓扑结构　　安装拓扑结构通常是对部署模型的说明，源码检测环境中Rational license server 采用IBM内部license server，无需独立安装，AppScan Enterprise Server和其他所有的组件都安装在本地服务器上，您也可以在不同的服务器上分别安装相应的服务器组件。图2的拓扑是对源码检测环境中安装部署关联关系的一种说明：▲图2 拓扑结构　　3.3 AppScan Enterprise Server安装配置　　在安装AppScan Enterprise Server之前，需要先保证您已安装了Rantional License Server ，在我们的源码检测环境中，使用IBM内部License Server，故在这里不再赘述　　过程：　　1. 下载IBM Security AppScan Enterprise Server产品zip文件，下载安装文件到指定目录，以root访问权限登录。　　2. 输入#ls –l AppScanServerSetup_9.0.2.bin ，确保在结果中看到-rwxrwxr-x　　3. 运行.bin文件，输入#./AppScanServerSetup_9.0.2.bin并单击Enter以开始安装程序▲图3-1 执行安装程序　　4. 选取安装语言，并单击确定，进入下一步。▲图3-2 选择安装语言　　5. 接受许可协议中的条款。　　6. 选择安装文件夹(缺省位置为/opt/IBM/AppScan_Server)。▲图3-3 缺省安装目录　　7. 复审安装摘要，然后单击安装，文件将被复制到linux计算机上。　　8. 配置Liberty Server名称、端口号(缺省为9443)和Rational License Server名称单击下一步。▲图3-4 配置Server名称和端口号　　9. 配置LDAP设置，请选择LDAP服务器类型，一些LDAP配置字段已经预先填写，需要检查这些字段对自己的环境是否正确。　　a. 如果LDAP服务器支持SSL,请使用SSL连接到LDAP服务器复选框。　　b. 输入LDAP服务器主机名和端口号(缺省为389)，以及基本的DN。　　c. 如果需要在LDAP服务器上认证，请输入绑定DN和绑定密码。单击进入下一步。▲图3-5 配置LDAP　　10. 配置产品管理员的用户名，进入下一步，配置Liberty服务之后，安装完成。　　安装完成后，AppScan Source管理员可以连接到linux上的Appscan Server以验证和管理他们的用户。　　3.3 AppScan Source安装配置　　AppScan Source组件是为安全分析人员、质量保证人员、开发人员等执行源码检测并出具检测报告的客户端，其安装配置过程如下：　　过程：　　1. 下载AppScan Source 产品安装.zip文件到指定目录，以root权限登录并执行./setup文件。　　#./setup.bin▲图3-6 执行安装程序　　2. 选择安装语言，点击下一步并继续。　　3. 在组件安装面板中，选择要安装的组件。AppScan Source组件分为服务器和客户机组件，这里我们全部勾选：▲图3-7 选择组件　　4. 在服务器连接面板中，选择您将要连接到的AppScan Enterprise Server选项，如果已经在本地机器上检测到AppScan Enterprise Server的兼容版本，将显示“将使用此机器上找到的实例”选项，如果使用AppScan Source时连接到此Enterprise Server请选择此选项。　　a. AppScan Enterprise Server：以现有 URL 格式指定远程 AppScan Enterprise Server 实例的主机名。　　b. 用户标识：指定您的 AppScan Enterprise Server 用户标识。　　c. 密码：为您的 AppScan Enterprise Server 用户标识指定密码。　　d. 输入了服务器设置后，单击测试连接以确保服务器将可供连接到 AppScan Source。　　e. 让我在不指定服务器的情况下继续：选择该选项可在不指定服务器的情况下继续操作。▲图3-8 连接服务器　　5. 如果在“服务器组件选择”页面中选择了安装 IBM Security AppScan Source 数据库组件，那么将显示数据库选择面板。我们选择默认选项，单击下一步：▲图3-9 选择数据库　　6. 缺省数据库管理员用户名和密码均为dba。您无法更改此用户名，但是可以更改密码，保持默认单击下一步。▲图3-10 配置数据库　　7. 配置IBM solidDB AppScan Source用户面板保持默认的配置，对AppScan Source数据库进行读写操作的所有组件都适用该账户。▲图3-11 用户配置　　8. 安装语言包时如果用户界面在正运行此语言环境的操作系统上运行，那么该用户界面将以此语言来显示。　　9. 在AppScan Enterprise Server配置面板中，选中立即配置，输入对应的URL 和账号密码，进入下一步完成安装。▲图 3-12 配置服务器　　10. 在“安装完成”面板中，可通过选择启动 IBM Security AppScan Source License Manager 来在退出安装向导后立即启动产品激活。单击完成以完成标准安装，并退出“安装向导”▲图3-13 导入license　　3.3 登录AppScan Source　　安装完成后，根据用户指定的账号密码完成登录，以现有的URL格式指定AppScan Enterprise Server的主机名，对于本方案，我们指定https://localhost:9443/ase/ 或 localhost。▲图3-14 登录AppScan
第1页：第2页：
第3页：第4页：
大学生分期购物销量榜
IT168企业级Appscan快速使用_百度文库
赠送免券下载特权
10W篇文档免费专享
部分付费文档8折起
每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
Appscan快速使用
&&快速学习受用AppScan 安全性测试工具
阅读已结束，下载本文需要
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，同时保存到云知识，更方便管理
加入VIP
还剩1页未读，
定制HR最喜欢的简历
你可能喜欢Posts - 301,
Articles - 1,
Comments - 3213
大人不华，君子务实。
22:36 by 虫师, ... 阅读,
　　安全测试应该是测试中非常重要的一部分，但他常常最容易被忽视掉。
　　尽管国内经常出现各种安全事件，但没有真正的引起人们的注意。不管是开发还是测试都不太关注产品的安全。当然，这也不能怪我们苦B的&民工兄弟&。因为公司的所给我们的时间与精力只要求我们对产品的功能的实现以及保证功能的正常运行。一方面出于侥幸心理。谁没事会攻击我？
& & &关于安全测试方面的资料也很少，很多人所知道的就是一本书，一个工具。
　　一本书值《web安全测试》，这应该是安全测试领域维数不多又被大家熟知的安全测试书，我曾看过前面几个章节，唉，鄙视一下自己，做事总喜欢虎头蛇尾。写得非常好，介绍了许多安全方面的工具和知识。我觉得就算你不去做专业的安全开发\测试人员。起码可以开阔你的视野，使你在做开发或测试时能够考虑到产品安全方面的设计。防患于未然总是好的，如果你想成为一个优秀的人。
　　一个工具，其实本文也只是想介绍一下，这个工具----AappScan，IBM的这个web安全扫描工具被许多人熟知，相关资料也很多，因为我也摸了摸它的皮毛，所以也来人说两句，呵呵！说起sappScan，对它也颇有些感情，因为，上一份工作的时候，我摸过于测试相关的许多工具，AappScan是其它一个，当时就觉得这工具这么强大，而且还这么傻瓜！！^_^! 于是，后面在面试的简历上写了这个工具，应聘现在的这家公司，几轮面试下来都问到过这个工具，因为现在这家公司一直在使用这个工具做安全方面的扫描。我想能来这家公司和我熟悉AappScan应该有一点点的关系吧！呵呵
AappScan下载与安装
IBM官方下载;
& & 本连接为7.8 简体中文版本的
破解补丁；
& & &破解补丁中有相应的注册机与破解步骤，生成注册码做一下替换就OK了，这里不细说。
　　AppScan其实是一个产品家族，包括众多的应用安全扫描产品，从开发阶段的源代码扫描的AppScan source edition,到针对WEB应用进行快速扫描的AppScan standard edition.以及进行安全管理和汇总整合的AppScan enterprise Edition等，我们经常说的AppScan就是指的桌面版本的AppScan,即AppScan standard edition.其安装在Windows操作系统上，可以对网站等WEB应用进行自动化的应用安全扫描和测试。
使用AppScan来进行扫描
我们按照PDCA的方法论来进行规划和讨论； 建议的AppScan使用步骤：PDCA: Plan,Do,check, Action and Analysis.
计划阶段：明确目的，进行策略性的选择和任务分解。
1)&&明确目的：选择合适的扫描策略
2)&&了解对象：首先进行探索，了解网站结构和规模
3)&&确定策略：进行对应的配置
a)&&&按照目录进行扫描任务的分解
b)&&&按照扫描策略进行扫描任务的分解
执行阶段：一边扫描一遍观察
4)&&进行扫描
5)&&先爬后扫（继续仅测试）
检查阶段（Check）
6)&&检查和调整配置
结果分析(Analysis)
7)&&对比结果
8)&&汇总结果（整合和过滤）
AppScan的工作原理
　　当我们单击&扫描&下面的小三角，可以出现如下的三个选型&继续完全扫描&，&继续仅探索&，&继续仅测试&，有木有？什么意思？ 理解了这个地方，就理解了AppScan的工作原理，我们慢慢展开：
还没有正式开始，所以先不管&继续&，直接来讨论&完全扫描&，&仅探索&，&仅测试&三个名词：　
　　AppScan是对网站等WEB应用进行安全攻击，通过真刀真枪的攻击，来检查网站是否存在安全漏洞；既然是攻击，肯定要有明确的攻击对象吧，比如北约现在的对象就是卡扎菲上校还有他的军队。对网站来说，一个网站存在的页面，可能成千上万。每个页面也都可能存在多个字段（参数），比如一个登陆界面，至少要输入用户名和密码吧，这就是一个页面存在两个字段，你提交了用户名密码等登陆信息，网站总要有地方接受并且检查是否正确吧，这就可能存在一个新的检查页面。这里的每个页面的每个参数都可能存在安全漏洞，所有都是被攻击对象，都需要来检查。
　　这就存在一个问题，你领命来检查一个网站的安全性，这个网站有多少个页面，有多少个参数，页面之间如何跳转，你可能很不明确，如何知道这些信息？ 看起来很复杂，盘根错节；那就更需要找到那个线索，提纲挈领； 那就想一想，访问一个网站的时候，我们需要知道的最重要的信息是哪个？网站主页地址吧？ 从网站地址开始，很多其他频道，其他页面都可以链接过去，对不对，那么可不可以有种技术，告诉了它网站的入口地址，然后它&顺藤摸瓜&，找出其他的网页和页面参数？&OK,这就是&爬虫&&技术，具体说，是&网站爬虫&，其利用了网页的请求都是用http协议发送的，发送和返回的内容都是统一的语言HTML,那么对HTML语言进行分析，找到里面的参数和链接，纪录并继续发送之，最终，找到了这个网站的众多的页面和目录。这个能力AppScan就提供了，这里的术语叫&探索&，explorer，就是去发现，去分析，了解未知的，记录。
　　在使用AppScan的时候，要配置的第一个就是要检查的网站的地址，配置了以后，AppScan就会利用&探索&技术去发现这个网站存在多少个目录，多少个页面，页面中有哪些参数等，简单说，了解了你的网站的结构。
　　&探索&了解了，测试的目标和范围就大致确定了，然后呢，利用&军火库&，发送导弹，进行安全攻击，这个过程就是&测试&；针对发现的每个页面的每个参数，进行安全检查，检查的弹药就来自AppScan的扫描规则库，其类似杀毒软件的病毒库，具体可以检查的安全攻击类型都在里面做好了，我们去使用即可。
　　那么什么是&完全测试呢&，完全测试就是把上面的两个步骤整合起来，&探索&+&&测试&；在安全测试过程中，可以先只进行探索，不进行测试，目的是了解被测的网站结构，评估范围； 然后选择&继续仅测试&，只对前面探索过的页面进行测试，不对新发现的页面进行测试。&完全测试&就是把两个步骤结合在一起，一边探索，一边测试。
上图更容易理解：
步骤1：探索（爬行，爬网）
步骤2：真对找到的页面进行测试，生成安全攻击
AppScan扫描大型网站
　　经常有客户抱怨，说AppScan无法扫描大型的网站，或者是扫描接近完成时候无法保存，甚至保存后的结果文件下次无法打开?；同时大家又都很奇怪，作为一款业界出名的工具，如此的脆弱？是配置使用不当还是自己不太了解呢？我们今天就一起来讨论下AppScan扫描大型网站会遇到的问题以及应对。
　　什么叫大型网站，顾名思义，网站规模大，具体说是页面很多，内容很全。比如,比如，都包括上万个页面。而且除了这个，可能还有一个特点---页面参数多，即要填写的地方多，和用户的交互多；比如一个网站如果都是静态页面(.html,.jpg等)，没有让用户输入的地方，那么可以利用，可以作为攻击点的地方也就不多。如果页面到处都是有输入，有查询，要求用户来参与的，你输入的越多，可能泄露的信息也越多，可能被别人利用的攻击点也就越多，所以和页面参数也是有关系的。AppScan声称测试用例的时候，也是根据每个参数来产生的，简单说，如果一个参数，对应了200个安全攻击测试用例，那么一个登陆界面至少就对应400个了，为什么？登陆界面至少有用户名和密码两个字段吧？ 每个字段200个攻击用例。
这个简单吧，还可以更复杂：如果遇到下面的两个地址，那要扫描多少次呢？
上面的两个地址有类似的，&？&号以前的URL地址完全一样，&?&号后面带的参数不同，这种可以认为是重复页面，那么对于重复页面，是否要重复测试呢？
这取决于&冗余路径设置&，默认的是最多测试5次；即，这种类型URL出现的前5次，那么就是要测试1000个攻击用例了。
如果再继续修改下：遇到下面的URL呢
&Item=open
每个URL里面都有2个参数，测试的次数就更多了。想象下，如果这个网页里面的参数如果是10个，或者更多的呢？比如很多网站提交注册信息的时候，要填写的内容足够多吧？
要进行的安全测试用例也就随之不断增加&
　　这是网站规模的影响，还有一个问题，就出在&每个参数，发送200个安全测试用例&这个假设上。这个假设的前提来源于哪里？ 来源于我们选择的扫描规则库。即你关心那些安全威胁，这个需要在测试策略里面选择。同样来参照杀毒软件，你会用杀毒软件来查找一些专用的病毒吗，比如CIH,比如木马；应用安全扫描也是一样的道理，如果有明确的安全指标或者安全规则范围，那么就选择之。这些可能来源于企业的规范，来源于政府的法律法规。就要根据你的理解，在这里选择。
　　很多时候，我们也很难在最开始的阶段，就把扫描规范制定下来，按照项目经理们的口头禅&渐进明细&，&滚动式规划&，在实践中，更多时候也是摸着石头过河，选择了一个扫描策略，然后根据结果分析，看是否需要调整，不断优化。比如选择默认的&缺省值&扫描策略，对网站进行扫描，发现其&敏感信息&里面会去检查页面上是否含有Email地址，是否含有信用卡号码等，如果我们觉得这些信息，显示在页面上是正常的业务需要，&我们就可以取消掉这些规则，所以扫描规则也很大程度上影响着我们的扫描效率。
=====================
& &注：本文复制网上一篇文章内容过多，不会发表到博客园首页，只在本博客显示。&