Hướng dẫn sử dụng rational appscan

Import > Explore Import > Cross Scan Data Nếu ấn bản chỉ định có dạng Noise False Positives – Cảnh báo sai trên 1 máy khác nhau và đã được xuất, có thể nhập thông tin này sử dụng trong v

MỤC LỤCCÀI ĐẶT

I.BẮT ĐẦU

I.1 Hướng dẫn sơ lược

I.1.1Main window

I.1.2 Reports

I.1.3 Toolbar trình duyệt

I.2 Hướng dẫn công việc

II – CẤU HÌNH QUÉT

II.1 Tóm tắt

II.2 Scan Configuration Wizard

II.3 Hộp thoại Scan Configuration(Cấu hình quét)

II.3.1 EXPLORE: URL and Servers

II.3.2 EXPLORE: Login Management

II.3.3 EXPLORE: Login Management Details

II.3.4 EXPLORE: Environment Definition

II.3.5 EXPLORE: Exclude Paths and Files

II.3.6 EXPLORE: Explore Options

II.3.7 EXPLORE: Parameters and Cookies

II.3.8 EXPLORE: Automatic Form Fill

II.3.9 EXPLORE: Error Pages

II.3.10 EXPLORE: Multi-Step Operations

II.3.11 EXPLORE: Content-Based

II.3.12 CONNECTION: Communication and Proxy

II.3.13 Connection: Platform Authentication

II.3.14 TEST: Test Policy

II.3.15 TEST: Test Options

II.3.16 Test: Privilege Escalation

II.3.17 Service Modules: Scan Expert

II.3.18 Service Modules: Result Expert

II.4 Scan Templates

II.4.1 Predefined templates

II.4.2 User-defined templates

III - KẾT QUẢ: PHÁT SINH BẢO MẬT

III.1 Tổng quan phát sinh bảo mật

III.2 Phát sinh bảo mật: Cây ứng dụng

III.3.4 Menu chuột phải

III.4 Phát sinh bảo mật: Cách nhìn chi tiết

III.4.1 Thẻ thông tin phát sinh

III.4.2 Thẻ Advisory

III.4.3 Thẻ Fix Recommendation

III.4.4 Thẻ Request/Response

III.5 Các kiểm tra thủ công

III.6 Các biến thể không thể xâm nhập

IV - KẾT QUẢ: Remediation Tasks

IV.1 Remediation Tasks: Application Tree

IV.2 Remediation Tasks: Result List

IV.2.1 Tìm kiếm các Remediation Tasks trong danh sách kết quả

IV.2.2 Sắp xếp các nhiệm vụ khắc phục

IV.2.3 Thao tác với các cấp độ ưu tiên

IV.2.4 Xóa nhiệm vụ khắc phục

V – KẾT QUẢ: Application Data

V.1 Tổng quan dữ liệu ứng dụng

V.2 Dữ liệu ứng dụng: cây áp dụng

V.3 Tương tác URL

VI – BÁO CÁO

VI.1 Tổng quan báo cáo

VI.2 Các báo cáo bảo mật

VI.3 Các báo cáo chuẩn công nghiệp

VI.4 Các báo cáo theo quy tắc

VI.5 Các báo cáo phân tích Delta

VI.6 Tạo các mẫu báo cáo người dùng tự định nghĩa

VII – CÔNG CỤ

VII.1 Lên lịch quét mới

VII.1.1 Lên lịch quét mới

VII.1.2 Chỉnh sủa lịch quét

VII.1.3 Xóa 1 lịch quét

VII.1.4 Lập lịch 1 giai đoạn Kiểm tra

VII.1.5 Lập lịch 1 quét tự cài đặt

VII.2 Các kiểm tra người dùng tự định nghĩa

VII.3 Thanh toolbar tự chỉnh

VII.3.1 Điều chỉnh thứ tự các menu tool

VII.3.2 Thêm chương trình tới Tools menu

Hệ điều hành và các yêu cầu về phần mềm

(Rational AppScan không hỗ trợ cho Vista)

Browser Microsoft® Internet Explorer Version 6 hoặc hơn

chọn, các hàm)

(Tùy chọn) JRE 5.0 hoặc hơn yêu cầu công cụ tạo HTTP Proxy tool (một trong những công cụ mạnh mẽ đi kèm Appscan) Nếu ko được cài đặt, phải chỉnh lại trong quá trình cài đặt AppScan

(Tùy chọn) Adobe® Flash Player 9.0.124.0 hoặc hơn cần cho việc trình diễn

(Tùy chọn) Sử dụng Word 2003 or 2007 cho việc báo cáo Trong trường hợp dùng Word 2003 cần phải được cập nhật

Update for Office 2003 (KB907417): http://www.microsoft.com/downloads/details.aspx?FamilyId=1B0BFB35-C252-43CC-8A2A-6A64D6AC4670&displaylang=en

(Tùy chọn) Để quét các dịch vụ Web, các dịch vụ chung của máy trạm Generic Service Client (GSC), cái mà được cài đặt với Rational AppScan, hỗ trợ các thuẩ toán giải mã khác nhau Tuy nhiên, nếu server của bạn yêu cầu các chiến lược mã hóa cấp độ cao, GSC có khả năng thành hỗ trợ mà không cần thư viện bảo mật (.jar file) "BouncyCastle" (http://www.bouncycastle.org) là 1 nhà cung cấp các thư viện bảo mật mà có thể chứa đựng các chiến lược

Chú ý:

1 tường lửa đang chạy trên cùng có cài Rational Appscan có thể bị block và kết quả làm cho việc tìm kiếm sai lạc Do vậy cần tắt tường lửa trước khi chạy Rational AppScan

Vị trí file tạm

Mô tả nơi AppScan lưu trữ các file tạm trong suốt quá trình thực thi

Theo mặc định, Rational AppScan lưu trữ các file tạm ở:

C:\Documents and Settings\All Users\Application Data\IBM\Rational AppScan\temp

Nếu cần viết đè vị trí mặc định này cho bất kì lí do nào, chỉnh sửa đường dẫn trong tham biến APPSCAN_TEMP

Chỉnh sửa: My ComputerPropertiesAdvancedEnvironmental Variables

Cài đặt

Tổng quát

1 Đóng tất cả các ứng dụng Microsoft Office đang mở

Lưu ý: Nếu bạn có Microsoft Word 2003 hoặc cao hơn được cài đặt, Rational AppScan sẽ tự

động them vào như lựa chọn bắt buộc Có thể được dùng để chèn các trường mã cho việc tạo các mẫu báo cáo Do đó, Microsoft Word và bất cứ chương trình Microsoft Offiece sử dụng nó (như

là Microsoft Outlook) phải được đóng trong suốt quá trình cài đặt.

2 Thiết lập Rational AppScan

Bắt đầu cài đặt, tiến trình cài đặt kiểm tra các yêu cầu tối thiểu

Lưu ý: Phụ thuộc vào hệ điều hành, NET Framework Version 2.0 hoặc 3.0 có thể được yêu cầu

để thực thi Ration AppScan Nếu bạn có 1 phiên bản trước đó, hoặc chưa có, sẽ được hỏi phiên bản cần cài

- Nếu chọn Yes, NET được cài đặt Hỏi để khởi đông máy tính sau khi nó được cài

- Nếu chọn No, cài đặt dừngm Rational AppScan không thể hoạt động với phiên bản NET

Framwework hiện có

Nếu đang sử dụng phiên bản 6.0 trở lên, 1 thông điệp xuất hiện thông báo sẽ cập nhật phiên bản cuối cùng (Không thể chạy 2 phiên bản trên 1 máy, phiên bản trước đó sẽ tự động loại bỏ)

3 Theo các chỉ thị để hoàn thành cài đặt

Lưu ý: Sẽ được hỏi để cài đặt hoặc doynload GSC Cần để triển khai các dịch vụ Web theo thứ tự

để cấu hình 1 bộ quét dịch vụ Web(nếu không chỉ quét ứng dụng Web)

Import > Explore

Import > Cross Scan

Data

Nếu ấn bản chỉ định có dạng Noise (False Positives – Cảnh báo sai) trên 1 máy khác nhau và đã được xuất, có thể nhập thông tin này sử dụng trong việc quét trên máy riêng, để những ấn bản này không xuất hiện trong kết quả

State (Phát sinh chỉ xem) Chỉ định phát sinh vừa chọn là "Noise(Nhiễu)" (nghĩa là

mặc dù AppScan xếp nó vào như một phát sinh, trong ngữ cảnh thuộc ứng dụng đang chạy) Những phát sinh mà được chỉ định như Noise có thể được loại bỏ hoặc bị đánh dấu (View menu  Show Issues Marked as Noise)

Priority (Chỉ xem sự bổ sung) Thay đổi cấp độ ưu tiên của sự bổ sung

thuộc vào dạng View được chọn hiện tại)

Lưu ý: Độ nghiêm trọng và độ ưu tiên loại trừ lẫn nhau, mỗi 1 cái chỉ có tại 1 thời điểm,

phụ thuộc vào xem dạng nào

View menu

Dùng để xác định làm thế nào cửa số win xuất hiện và dữ liệu hiển thị như nào

Câu lệnh Tác dụng

Security Issues Hiển thị các phát sinh bảo mật

Remediation Tasks Hiển thị các loại trừ

Câu lệnh Tác dụng

Marked as Noise Những phát sinh AppScan tìm ra, mà không liên quan đến ngữ cảnh của ứng dụng, thì được đánh dấu như là Nhiễu Khi chọn, Nhiễu xuất hiện với

dấu gạch ngang, khi không được chọn, Nhiễu không được chỉ raNon-vulnerable

Variants

Mở danh sách các biến đổi được định nghĩa không thể tấn công

hiện tạiCustomize Toolbar

Có thể khôi phục lại việc quét sau Cũng có thể lưu lại việc dừng quét để tiếp tục vào lần sau

Re-Scan (Full): Xóa tất cả các kết quả quét và chạy quét đầy đủ sử dụng cấu hình hiện tại

Re-Explore: Xóa tất cả các kết quả quét và chạy Explore chỉ sử dụng cấu hình hiện tại

Re-Test: Xóa kết quả quét và chạy Test mới sử dụng cấu hình hiện tại

Explore Web Services Mở dịch vụ máy trạm Generic Service Client, có thể tùy chỉnh explore

ứng dụng Các yêu cầu và hồi đáp được sử dụng trong suốt giai đoạn

Câu lệnh Tác dụng

Test

chạy Explore Tùy chọn chỉ hiện ra khi đã có 1 vài kết quả Explore

Clear All Scan Data Xóa tất cả kết quả Explore và Test, chỉ giữ cấu hình quét

Run Scan Expert

Run Scan Expert

Analysis Only

Tùy chọn này chỉ chạy giai đoạn Analysis, và chỉ được kich hoạt nếu đã

có một vài kết quả quét trên phân tích cơ bản Scan Expert sẽ phân tích các kết quả hiện tại để xác định có cấu hình tốt nhất hay chưa

Enable Scan Expert

(Thuộc tính này không có trong phiên bản AppScan Developer Edition.)Run Result Expert (Chỉ kích hoạt nếu đã có một vài kết quả quét)

Chạy Authentication Tester PowerTool để brute-force các xác thực

>Connection Test Chạy Connection Test PowerTool để ping websites không sử dụng giao

thức ping (có khả năng bị đóng bởi các tường lửa)

>Token Analyzer Chạy Token Analyzer PowerTool để phân tích các phiên token ngẫu nhiên

>External Tools Mở hộp thoại để

• Kiểm duyệt thứ tự PowerTools trong menu Tools

AppScan Enterprise Cấu hình thông tin đăng nhập AppScan Enterprise Server, nếu tổ chức chạy

Câu lệnh Tác dụng

• Encrypt Support Files,

• contact IBM Support

Extended Support Mode tạo các nhật kí mức chi tiết cho mỗi hành động

để cho phép giải quyết khó khăn bởi đội ngũ hỗ trợ IBM Cái này có thể làm chậm AppScan, chỉ nên bật khi cần

Rational AppScan

About IBM Rational

Print In sơ đồ ứng dụng và chi tiết khung Pane (Security Issues,

Pause Scan (Chỉ kick hoạt khi 1 quét đang chạy) Dừng quét hiện tại (bất kể Full

Scan, Explore Only hay Test Only)

Có thể khôi phục lại quét sau Cũng có thể lưu lại để tiếp tục vào 1 thời điểm khác

Mở hội thoại cấu hình quét

Scan Expert > Chạy Scan Expert để tính toán cấu hình hiện tại và gợi ý thay đổi

Chọn:

Scan Expert EvaluationScan Expert Analysis Only (Tùy chọn này chỉ dùng khi đã có 1 vài kết quả Explore có thể phân tích được)

Scan Log Hiển thị Scan Log trong suốt quá trình quét hoặc sau (Liệt kê tất diễn

biến của Rational® AppScan trong suốt quá trình quét)

Create Report Tạo 1 báo cáo với dữ liệu quét hiện tại

Keyboard Shortcuts

AppScan sử dụng các từ khóa bàn phím sau

Table 1 Keyboard Shortcuts

Shortcut Function

Table 1 Keyboard Shortcuts

Shortcut Function

[Ctrl] + W Mở màn hình chào mừng

View selector

Có thể điều khiển các nút bằng cách sử dụng từ khóa bàn phím F2, F3 và F4

Khi chọn mỗi cách hiển thị trong View Selector, thông tin hiển thị theo Application Tree(Mô hình cây), Result List(Danh sách kết quả) và Detail Pane (Chi tiết) 3 phần được tổng kết thành bảng sau

Security

Issues view

Hiển thị các phát sinh, từ cấp độ thấp cho tới các yêu cầu/phản hổi cá biệt Mặc định thì

Application Tree: Cây hoàn chỉnh Mỗi 1 mục có thông báo về số

lượng các phát sinh có trong mục đóResult List: Lists issues for the

selected note in the application tree, and the severity of each issue

Detail Pane: Hiển thị advisory, fix recommendations và request/response (bao gồm tất cả các biến thể được sử dụng) cho mỗi

phát sinh được chọn trong danh sách

Keyboard shortcut: F2

Remediation

Tasks view Cung cấp 1 danh sách đề nghị sửa chưa các phát sinh tìm thấy

Application Tree: Cây hoàn chỉnh Mỗi mục hiển thị số lượng cần sửa

chữa trong đó

Application Tree: Cây hoàn chỉnh

Result List: Chọn một phép lọc từ danh sách pop-up trong kết quả để

xác dịnh thông tin nào được hiện ra

Detail Pane: Danh sách lọc: tham biến kịch bản, các URL liên kết, các

URL đã nhập, các đường dẫn hỏng, các URL được lọc, các bình luận, JavaScripts và các cookie Không giống 2 nút trên, Application data có ngay khi AppScan chỉ hoàn thành giai đoạn Explore

Keyboard shortcut: F4

Application Tree

Application Tree là 1 phương thức liệt kê theo mô hình cây các thư mục, URL, và các files mà Rational® AppScan tìm thấy trong ứng dụng

Lưu ý: Trong trường hợp các ứng dụng không có cấu trúc URL theo thứ bậc, như các ứng dụng hàm đầu

vào đơn lẻ(MVC), hoặc các ứng dụng mà cấu trúc thứ tự không theo logic, có thể tạo 1 cây ứng dụng theo ngữ cảnh, bằng cách định nghĩa 1 tập các biểu thức thông thường mà trích xuất đường dẫn logic từ các trang

Application Tree icons

Mỗi loại nút trong Application Tree được chỉ rõ bởi biểu tượng riêng

Thư mục tìm thấy trong ứng dụng

Gạch chéo; các kết quả test đối với thư mục cha

File tìm thấy trong ứng dụng

1 dấu gạch đỏ X trên bất cứ biểu tượng nào trong Application Tree chỉ ra rằng nút và tất

cả các nút con của nó bị ngăn chặn bởi người dùng (Để cho phép quét nút này, click

chuột phải chọn Include in Scan.)

Application Tree counters

Số trong ngoặc đơn bên cạnh mỗi nút biểu thị số lượng các nút con cần xem xét lại

Khung danh sách liệt kê

Liệt kê danh sách các phát sinh bảo mật

Liệt kê kết quả hiển thị các phát sinh tìm thấy trong quá trình quét Trong suốt quá trình quét, luôn hiển thị các phát sinh bảo mật

Mỗi phát sinh được phân loại với 1 cấp độ bảo mật theo bảng sau

(Dưới phát sinh) URL liên quan đến phát sinh này

(Dưới phát sinh > URL:) thông số liên quan đến phát sinh

Tùy chọn cho mỗi phát sinh

Khi click chuột phải vào mỗi mục trong danh sách liệt kê, 1 menu ngữ cảnh xuất hiện để xử lí với từng mục

Report False-Positive Tạo 1 file zip của dữ liệu kiểm tra và gắn nó vào 1 email, gửi tới IBM để

Mục Miêu tả

nhận phản hồi các kết quả có khả năng là cảnh báo sai

Liệt kê danh sách các bước sửa chữa

Liệt kê danh sách sửa chưa hiển thị các gợi ý cho mỗi phát sinh

Biểu

tượng Chỉ dẫn

Độ ưu tiên mức cao

Độ ưu tiên mức vừa

Độ ưu tiên mức thấp

Đường dẫn tới bước xử lí tương ứng

URL cho bước xử lí tương ứng

URL: thông số liên quan đến bước xử lí

Table 2 Result List - Remediation Right-Click Menu

Item Description

Priority Thay đổi cấp độ của 1 sự sửa chữa

Copy URL Sao chép URL vào clipboard

Danh sách liệt kê dữ liệu

Liệt kê danh sách theo dữ liệu hiển thị nội dung tim thấy trên website

Biểu tượng Indicates

Tùy chọn danh sách liệt kê dữ liệu

Click chuột phải vào mỗi mục trong danh sách liệt kê sẽ xuất hiện menu ngữ cảnh để tùy chỉnh:

phản hồi từ 1 link hỏng

Retry All Broken

Links

Re-explores và kiểm tra các URL nhận định là link hỏng

Khung chi tiết

Khung chi tiết các phát sinh bảo mật

Khung chi tiết xuất hiện khi chọn Security Issues trong View Selector và 1 mục trong danh sách

liệt kê Khung này có 4 tabs:

• Issue Information Tab: Khái quát thông tin về phát sinh đã chọn

• Advisory Tab: Chi tiết của phát sinh với các liên kết tới thông tin bổ sung và flash minh

họa

• Fix Recommendations tab: Chỉ rõ chi tiết phương án để fix ứng dụng web

• Request/Response Tab: Rational® AppScan kiểm tra yêu cầu và phản hồi của ứng

dụng Tab này có toolbar riêng

3 tab thuộc tính, góc bên phải tab Request/Response, cung cấp chi tiết và nhiều tuỳ chọn hơn cho biến thể hiện tại Có thể hiện/ẩn bằng cách chọn selecting/deselecting checkbox ở góc trên bên phải của tab Request/Response

Table 1 Properties tabs

Variant

ID: Cần khi muốn nhận sự trợ giúp Difference: Chi tiết về sự khác nhau giữa biến thế này và nguyên bản Reasoning: Giải thích lí do phản hồi này được công nhận như phát sinh bảo mật

Screenshot Tab này đưa ra 1 liên kết mà khi click vào đó thì mở ra trình duyệt gắn trên đó là

biến thể dạng nàyKhi tạo 1 báo cáo, screenshot này sẽ cho phép người xem biết được biến thể dạng

1 trang webComments Chú thích tất cả vấn đề liên quan tới biến thể này, cái này lưu cùng với việc lưu

quét

Click chuột phải vào tab Request/Response xuất hiện các câu lênh sau:

• Các câu lệnh chỉnh sửa text: Cut, Copy, Paste, Select All

• Find (Alt + F3) – tìm 1 chuỗi trong Details

Wrap

• Page Setup và Print

Khung chi tiết các bước sửa chữa

Khi lựa chọn nút Remediation Tasks trong View Selector, Khung Detail Pane hiển thị các bước sửa chữa cho phát sinh được chọn trong danh sách liệt kê

Khung này bao gồm: tên bước xử lí, định danh phát sinh và các chi tiết về gợi ý sửa chữa

Khung chi tiết dữ liệu

Khi Application Data được chọn trong View Selector, khung chi tiết hiển thị trạng thái khác nhau của dữ liệu, phụ thuộc vào phát sinh được chọn(trong Combo Box bên trên khung chi tiết)

Data Type Details Displayed Available Features

tayScript

Parameters

Thuộc tính tham biến: tên và giá trị

Data Type Details Displayed Available Features

Interactive

URLs

Domain(Tên miền), Expires(Hiệu lực), Secure (true/false), Request URL(URL yêu cầu)

Scan notice panel

Khung Scan Notice Panel xuất hiện nếu Rational® AppScan không thể kết nối tới web server hoặc nếu quét bị dừng lại trước khi hoàn thành Nó hiển thị thông tin hữu ích (như là "Server Down", hoặc "Scan is Incomplete"), với 1 liên kết để mở hộp thoại hiển thị chi tiết

Status bar

ThanhStatus Bar ở phía dưới cửa sổ chính hiển thị thông tin đang quét hoặc được load

Số trên thanh Status chỉ ra: URLs (giai đoạn test/explore) đã thăm, đang kiểm tra (giai đoạn test/explore stage), và các phát sinh bảo mật khám phá trong quét hiện tại

Biểu

tượng Chỉ

Số lượng URL đã qua/ số lượng URL sẽ được thăm

Số lượng các kiểm tra gửi/số lượng các kiểm tra phát sinh và được gửi

Số lượng các phát sinh được khám phá

Số lượng các phát sinh bảo mật mức độ cao

Số lượng các phát sinh bảo mật mức độ vừa

Số lượng các phát sinh bảo mật mức độ thấp

Số lượng các thông tin phát sinh

I.1.2 Reports

Có 4 loại báo cáo cơ bản, được miêu tả bên dưới

Lưu ý: Báo cáo dạng Industry Standard và Regulatory Compliance không có trong bản

AppScan's Developer Edition

Table 1 Report Type Summary

Biểu

tượng Báo cáo Tùy chọn

Security Báo cáo của các phát sinh bảo mật tìm thấy trong suốt quá trình quét

Thông tin bảo mật rất rộng, có thể được lọc phụ thuộc vào từng yêu cầu

Có 6 mẫu tiêu chuẩn cho báo cáo dạng này, nhưng mỗi cái có thể dễ dàng được điều chỉnh để thêm vào hoặc loại trừ thông tin, nếu cần thiết

Industry

Standard

Báo cáo theo chuẩn của ủy ban công nghiệp

Table 1 Report Type Summary

Based Tùy chọn báo cáo dùng dữ liệu do người dùng tự định nghĩa và định dạng văn bản cũng do người dùng tự định nghĩa

I.1.3 Toolbar trình duyệt

Table 1 AppScan Browser Biểu tượngs

I.2 Hướng dẫn công việc

Step 1: Các bước cơ bản cấu hình quét

1 Mở AppScan

Hộp thoại Scan Configuration Wizard xuất hiện.

3 Để quét 1 ứng dụng, chọn Web Application Scan radio button, sau đó click Next

Bước URL and Servers xuất hiện

Lưu ý: Nếu chọn Web Services Scan thì sẽ khác nhau chút ít, và khi đóng Generic

Service Client (GSC), cho phép bạn đặt các tham biến mà Rational® AppScan sẽ dùng trong giai đoạn Test

Đánh địa chỉ ứng dụng web vào text box, sau đó click Next

Bước Login Management xuất hiện

4 Click Record Login

Tất cả các hành động, cho đến khi click nút Pause, được lưu lại trong Rational AppScan

5 Đăng nhập vào ứng dụng với user name và password, điền đầy đủ các trường và click vào links

6 Khi đăng nhập vào ứng dụng, có thể click Pause hoặc đơn giản đóng trình duyệt

"Login Sequence" (chuỗi các liên kết gắn vào trạng thái logged-in) được hiển thị trong pane

Click Next

Bước Test Policy xuất hiện

7 Click Next

Bước cuối cùng xuất hiện

Step 2: Chạy quét

1 Chọn Start a full automatic scan, Click Finish

Trình wizard đóng lại và khung Scan Expert mở ra để ước lượng cấu hình hiện tại cho website 1 danh sách cấu hình đề nghị xuất hiện

Lưu ý: Nếu có bất cứ sự thay đổi nào mà AppScan không thể thực hiện được, hộp kiểm

của nó sẽ có màu xám và không được tich Để cung cấp yêu cầu đầu vào cho những thay đổi này, click và liên kết

2 Click Apply Recommendations

Step 3: Reviewing Scan Results

Khi đã quét xong, các kết quả được hiển thị trong cửa sổ chính và chia làm 3 khung: Application

Tree, Result List, Detail Pane Loại thông tin trong mỗi khung phụ thuộc vào việc lựa chọn loại

View (mặc định là Security Issues View)

Có 3 phương thức View

• Security Issues view

• Remediation Tasks view

• Application Data view

Step 4: Báo cáo kết quả

Có 2 cách làm việc với đội ngũ khác

• Chỉ trao đổi phát sinh đặc biệt

II – CẤU HÌNH QUÉT

II.1 Tóm tắt

Quét là 1 tiến trình bao gồm explore và kiểm tra

Có 2 bước để bắt đầu quét

• Scan Configuration Wizard dùng để định dạng wizard

- Nhiều thiết lập theo chuẩn

- Không cần thay đổi thiết lập giữa các lần quét, và được lưu lại thành mẫu quét với chỉ dẫn riêng

• Scan Configuration dialog box dùng để cấu hình quét

- Cần để tùy chỉnh nhiều thiết lập cho 1 quét

- Muốn tạo và lưu mẫu quét

II.2 Scan Configuration Wizard

Table 1 Scan Configuration Wizard Summary

Wizard Step:

Launching the Scan Configuration Wizard

Wizard Welcome Step (Chọn Web Application hoặc Web Service Scanning)

Web Application Scanning:

1) URL and Servers settings

Table 1 Scan Configuration Wizard Summary

Wizard Step:

URL and Servers: Additional settings

2) Login Management settings

Login Management: Additional settings

3) Test Policy settings

Completing the Web Application Scan Configuration Wizard

Web Services Scanning (WSDL):

1) URL and Servers settings (WSDL)

URL and Servers: Additional settings (WSDL)

2) Test Policy settings (WSDL)

Completing the WSDL Scan Configuration Wizard

Launching the Scan Configuration Wizard

1 Để mở wizard, làm theo bước sau

Create New Scan

- Nếu AppScan đã mở, Click biểu tượng New Scan trên thanh toolbar

Màn hình Scan Configuration Welcome xuất hiện

Wizard Welcome Step

• Web Application Scan:

• Web Service Scan(tùy chọn này chỉ cần khi cài đặt GSC)

Web Application Scan Configuration Wizard

URL và Servers Settings

1 Starting URL: Nhập địa chỉ URL của ứng dụng Quét sẽ bắt đầu với địa chỉ URL

này

2 Để kiểm tra đã nhập đúng địa chỉ URL, có thể xem URL nhập vào trong trình duyệt AppScan

a Click nút 1 trình duyệt mở ra dẫn tới URL bạn vừa đánh

b Nếu cần, có thể duyệt 1 URL khác và dùng thanh toolbar để thiết lập 1 trang mới như là trang bắt đầu quét

c Đóng trình duyệt để tiếp tục với cấu hình quét

3 Case Sensitive Path: khi hộp này được chọn(theo mặc định), mỗi liên kết được mở

rộng ra trong việc xét các liên kết dạng khác, nhưng cùng tên Trong nhiều trường hợp nên tich mục này cho các server Unix, và không check đối với các server Window

4 Additional Servers and Domains Nếu ứng dụng có các server và domain khác ngoài

địa chỉ URL, và phần mềm license AppScan đưa vào thêm ở đây để gộp vào trong

quét

b Đánh hostname hoặc địa chỉ IP của server, hoặc tên miền

Mục mới được thêm vào trong danh sách

5 I need to configure additional connectivity settings: Theo mặc định AppScan sử

dụng thiết lập proxy IE Chọn mục này chỉ nếu muốn AppScan dùng proxy khác Mục này sẽ mở đến bước tiếp theo URL and Servers: Additional settings

6 Click Next để tiếp tục tới bước tiếp theo

URL and Servers: Additional settings

1 Chọn một trong 3 tuỳu chọn proxy:

o Use Internet Explorer proxy settings: (Mặc định) Sử dụng proxy của IE

o Don't use proxy: Không dùng proxy

o Use custom proxy settings: Chọn mục này nếu muốn sử dụng 1 địa chỉ và cổng

khác

2 Nếu chọn 1 trong các tùy chọn sử dụng 1 proxy, có thể thiết lập Username, Password và

Domain dùng trong kết nối Click nút Configure

3 Nếu yêu cầu cấp độ xác thực server, thiết lập Username, Password và Domain trong vùng

Platform Authentication

4 Click Next để tới bước Login Management

Login Management settings

Bước Login Management để chọn 3 phương pháp AppScan dùng khi gặp trang yêu cầu đăng

nhập khi quét

• Prompt: Trong trường hợp này, vẫn phải lưu lại 1 thủ tục đăng nhập Mặc dù AppScan

không đăng nhập sử dụng thủ tục đã ghi, cần thủ tục tham chiếu đã biết

• Automatic Login: Nếu AppScan có khả năng đăng nhập vào website chỉ sử dụng tên và

mật khẩu, không có thủ tục đặc biệt, chọn tùy chọn này và nhập Username và Password

• No Login: Chọn tùy chọn này chỉ nếu ứng dụng không yêu cầu đăng nhập hoặc nếu vì 1

vài lí do khác ko muốn AppScan đăng nhập

1 Chọn phương thức đăng nhập

2 Làm theo các bước sau:

o Đối với Recorded Login hoặc Prompt, click Record hoặc Import thiết lập 1

chuỗi đăng nhập

o Đối với Automatic Login, nhập Username và Password

Nếu đã lưu 1 chuỗi đăng nhập hiệu lực and In-Session Detection is active, biểu tượng

khóa chuyển sang màu xanh lá cây, nói lên rằng chuỗi đăng nhập thỏa mãn

Lưu ý: Nếu biểu tượng khóa chuyển sang màu đỏ , nghĩa là AppScan cố gắng đăng nhập nhưng không thành công với 1 số phiên trong suốt quá trình quét Để khắc phục vấn

đề này, nên mở chính xác các bước của wizard và cung cấp AppScan khả năng tự đồng nhất hoặc kích hoạt lại In-Session Detection (See next step.)

3 Nếu chọn I want to configure In-Session Detection Options, 1 bước wizard Login

Management Ssẽ mở ra Chỉ chọn cái này nếu cần chỉnh sửa chuỗi đăng nhập hoặc activate/deactivate In-Session detection

4 Click Next

Login Management: Additional settings

Hộp thoại Login Management Settings để xem lại và chỉnh sửa chuỗi đăng nhập đã lưu, và bước

mà AppScan dùng trong suốt quá trình quét để kiểm tra nó đăng nhập được

1 Xem lại và chỉnh sửa chuỗi đăng nhập sử dụng các nút:

o Để nhập 1 chuỗi tần số lưu, click Import

o Để xem mỗi URL trong trình duyệt AppScan, chọn nó và click

o Để loại bỏ chuỗi này và lưu cái khác, click nút Record

o Để xóa các địa chỉ thừa trong chuỗi đăng nhập, chọn URL và click

2 Để activate/deactivate In-Session Detection, chọn/bỏ chọn hộp kiểm

3 Nếu kích hoạt In-Session Detection, nên kiểm tra rằng việc chọn In-Session pattern AppScan là đúng, nếu không, chọn 1 cái mới

4 Click Next

Test Policy settings

Số lượng kiểm tra mà AppScan gửi đi trong suốt quá trình quét ước chừng khoảng mấy ngìn lần

Để giảm thời gian quét thì phải giới hạn quét trên những loại nào đó Đó là Test Policy

AppScan sử dụng chính sách mặc định Default Test Policy, với 1 vài cấu hình kiểm tra có thể

thêm vào Cũng có thể sử dụng các chính sách riêng người dùng tự định nghĩa

1 Kiểm tra chính sách Test hiện tại thích hợp với cái quét đang cần

2 Để load 1 chính sách kiểm tra (Test Policy), click vàoPre-Defined Policies hoặc Recent

Policies trong khung Policy Files.

3 Send tests on login and logout pages: Theo mặc định, Rational® AppScan sẽ kiểm tra

các trang đăng nhập và thoát nếu có Nên bỏ cấu hình mặc định này, trừ khi:

- Ứng dụng tỏ ra an toàn với chức năng lock out người dùng trái luật hoặc

- Ứng dụng mở ra nếu những trang này được kiểm tra

- Nếu không chắc chắn ứng dụng sẽ phản hồi lại những kiểm tra

4 Clear session identifiers before testing login pages: (Hộp kiểm này chỉ được kích hoạt

nếu hộp kiểm trước được chọn) Theo mặc định AppScan luôn luôn xóa các phiên trước trước khi kiểm tra khả năng đăng nhập Nếu chắc chắn rằng các trang đăng nhập không thể được kiểm tra mà không có các phiên hiệu lực, bỏ hộp kiểm này Nếu không chắc chắn làm thế nào ứng dụng sẽ phản hồi, bỏ tùy chọn này

5 Click Next để đi tới bước cuối cùng

Completing the Web Application Scan Configuration Wizard

Sau khi qua các bước của Scan Configuration wizard, quyết định làm thế nào và khi nào bắt đầu quét

Nếu chọn 1 trong các tùy chọn mà cảm thấy ổn thì cũng có thể chạy Scan Expert trước khi quét

chính bắt đầu Bắt đầu tính toán cấu hình đã chọn Sau đó gợi ý thay đổi cấu hình nếu cần Kết hợp chặt chẽ những cấu hình đề nghị này có thể tăng cường tối đa khả năng và hiệu quả của việc quét

1 Lựa chọn:

o Start a full automatic scan: Bắt đầu quét đầy đủ ứng dụng

o Start with automatic Explore only: Explore ứng dụng, nhưng không đi tới giai

đoạn Test (Có thể chạy giai đoạn Test sau đó)

o Start with Manual Explore: Trình duyệt mở ra và có thể tùy chọn explore trang

web bằng cách click vào các liên kết và điền đầy đủ các tường Rational®

AppScan sẽ lưu lại các kết quả sử dụng trong giai đoạn Test

o I will start the scan later: Đóng wizard và không quét Lần tới bắt đầu quét Mẫu

này sẽ được sử dụng

2 Start Scan Expert when Scan Configuration is Complete: (Chỉ kích hoạt nếu một

trong 3 tùy chọn ban đầu đã hoàn thành) Chọn hộp kiểm này nếu muốn Scan Expert tính toán cấu hình trước khi bắt đầu quét chính )

II.3 Hộp thoại Scan Configuration(Cấu hình quét)

About this task

Hộp thoại Scan Configuration cung cấp nhiều tuỳu chọn để cấu hình quét Các tuỳu chọn chính

đã sẵn có trong Scan Configuration Wizard, nhưng có thể thay đổi thiết lập mặc định bằng cách

sử dụng hộp thoại này

Trên thanh toolbar, click biểu tượng Scan Configuration (hoặc ấn F10)

Hộp thoại Scan Configuration có cách hiển thị khác đôi chút, chia thành 4 nhóm, truy cập bằng

cách click vào mục tương ứng trong khung bên trái

Lưu ý: Nếu dừng 1 quét và thay đổi cấu hình, sự thay đổi sẽ không ảnh hưởng đến quét hiện tại

Để thử nghiệm những thay đổi cách tốt nhất là nên bắt đầu 1 quét mới Click OK để lưu lại toàn

bộ thay đổi

Table 1 Scan Configuration Dialog Box Views

View Select to configure:

Explore

Explore: URL and

Servers Địa chỉ URL bắt đầu, loại hệ thống và các server được thêm

Explore: Login

Management Thiết lập phương thức đăng nhập, lưu lại chuỗi đăng nhập

Explore: Environment

Definition

Cung cấp thông tin về môi trường ứng dụng

Explore: Exclude Paths

Table 1 Scan Configuration Dialog Box Views

View Select to configure:

II.3.1 EXPLORE: URL and Servers

Để thẩm tra xem có đúng địa chỉ hay không có thể click vào nút Show in

Browser

Case Sensitive Path Khi được chọn, các liên kết trong trang sẽ được cân nhắc xét đến các

link có tên tương tựKhi bỏ chọn, tất cả URL xuất hiện với kí tự thườngChọn hộp kiểm này nếu file hệ thống trên ứng dụng là ko đoán được(trong nhiều trường hợp, nó dùng cho các server có nền Unix, bỏ chọn nếu chắc chắn server là Windows)

Additional Servers and

II.3.2 EXPLORE: Login Management

Xem trong Scan Configuration Wizard

II.3.3 EXPLORE: Login Management Details

Thẻ Details của Login Management dùng để:

• Xem và chỉnh sửa lại chuỗi đăng nhập

• Kích hoạt/Tắt kich hoạt In-Session Detection (tạm dịch là: Phiên làm việc)

• Xem lại và quản lý những dấu hiệu thay đổi (gọi là phiên ID) nhận được trong suốt quá trình đăng nhập

Setting Details

Login

Sequence

Hiển thị địa chỉ URL của chuỗi đăng nhập và loại của chúng Phân loại:

Regular, Login và In-Session

Địa chỉ URL đầu tiên là Regular, giai đoạn giữa là Login, và cuối cùng sau khi đăng nhập thành công là In-Session (1 phản hồi có thể là In-Session)

Sử dụng các công cụ: Export – xuất chuỗi dùng với các quét khác Import – nhập 1 chuỗi mà đã xuất trước đó View – xem trước 1 trang từ chuỗi Record – lưu lại 1 chuỗi mới, viết đè cái hiện tại Delete – xóa trang từ chuỗi đưa ra Edit

– chỉnh sửa loại địa chỉ URL trong chuỗi bằng cách chọn mũi tên xổ xuống và

chọn loại mới: In-session, Login, hoặc Regular In-Session

Detection

(Mặc định được kích hoạt nếu 1 phản hồi In-session được phát hiện trong chuỗi đăng nhập) Trường đưa ra trạng thái của In-session Có thể chỉnh sửa mẫu này

bằng cách gõ trong ô Response Pattern, hoặc click Select In-session pattern để

chọn mẫu trong trình duyệt trong trình duyệt hoặc từ file HTML

Treat as a regular expression: Tùy chọn này để gõ biểu thức thông thường như

Response Pattern

Login Session

IDs Liệt kê tất cả các tham biến nhận được trong các chuỗi đăng nhập, và đặt tự động Session IDs as Tracked

Có thể chọn các tham biến trong danh sách này và sử dụng các nút Track và

Stop Tracking để thay đổi trạng thái của chúng Tất cả các tham biến "tracked"

Setting Details

được thêm vào danh sách global of parameters and cookies mà trạng thái của

chúng được track trong suốt quá trình quét

a)Login Sequence  Export a Login Sequence

1 Lưu lại 1 chuỗi đăng nhập

2 bên dưới hộp thoại Session Information, click Export

3 Gõ tên file cần lưu và click Save File được lưu lại với phần mở rộng.login

b) Login Sequence  Import a Login Sequence

1 Click Import Nếu đã có 1 chuỗi đăng nhập hiện tại, sẽ được cảnh báo rằng load

1 chuỗi mới sẽ ghi đè chuỗi hiện tại

2 Duyệt tới file login và click Open

c) Xem chi tiết yêu cầu/phản hồi URL

1 Từ thẻ Details,Click vào địa chỉ URL

Địa chỉ URL được hiển thị trong trình duyệt với 2 thẻ: Browser và Request/Response

2 Để xem thẻ HTML, click vào thẻ Request/Response

d) In-session detection

Khi lưu 1 thủ tục đăng nhập, AppScan nỗ lực đồng nhất 1 mẫu phản hồi In-Session cái

mà chỉ ra rằng đang trong phiên

Để thay đổi Response Pattern:

• Gõ trực tiếp vào hộp In-session pattern

• Chọn mẫu dùng nút Select In-session pattern button, được miêu tả bên dưới:

1 Kiểm tra rằng địa chỉ URL đánh dấu In-Session trong chuỗi đăng nhập

2 Click Select In-session pattern

Trình duyệt mở ra mode đặc biệt với 2 thẻ: Browser và Request Response

o In the Browser tab: Các vùng khác được đánh dấu mầu xanh nhạt

o In the Request/Response tab: Chọn text yêu cầu trong thẻ HTML và click chuột

phải

Lưu ý: Trong trường hợp ảnh đánh dâu không hiện được, Click vào ảnh yêu cầu

Text hoặc ảnh được làm nổi màu vàng

Đóng trình duyệt

5 Click OK để lưu thay đổi

II.3.4 EXPLORE: Environment Definition

Environment definitional không cần thiết, nhưng cho phép AppScan kìm nén an toàn việc gửi các kiểm tra không tương thích trong suốt quá trình quét, kết quả làm cho việc quét trở nên chính xác và nhanh hơn

Application Server (if any) Select all applicable answers.

Type of Database (if any) Select all applicable answers.

Third-Party Component (if any) Select all applicable answers.