提升产品的安全质量 尽量在发布前找到安全问题予以修补降低成本 度量安全 验证安装在系统内的保护机制能否在实际应用中对系统进
行保护，使之不被非法入侵，不受各种因素的干扰
安全测试流程
系统分 析
系统安 全分析
安全建 模
剖析系 统
测试方 案
安全测 试
发现安全漏洞
发现安全 漏洞
质量安全
评估
安全测试与APPSCAN源自安全测试与APPSCAN 安全测试简介与流程
Web安全测试
Appscan简介 案例
安全测试简介
什么是安全测试
安全测试是在软件产品的生命周期中，特别是产品开发基本 完成到发布阶段，对产品进行检验以验证产品符合安全需求定 义和产品质量标准的过程。
安全测试目的
开“扫描专家”面板，以评估站点当前的配置。
自动保存
保存此次扫描文件
执行探索。
探索完成，可以得到以下界面，在这个界面上可以看到
扫描专家将要进行扫描的所有URL，以及URL详情。扫 描专家建议，可选择应用或忽略，如无需更改，则可直 接进行全面扫描。
扫描过程中，可以点击图中红圈表示的按钮，进入到如
修复
修补建议
Web安全测试
什么是web安全测试
Web安全测试即是使用工具，模拟和激发web应用的活
动。模拟各种恶意输入，提交到web应用。
常用工具
Appscan Fortify …
Appscan简介
工具介绍
扫描原理
工作流程
工具介绍
Appscan是业界第一款领先的web应用安全
测试工具，也是唯一一个在所有级别应用 上提供全面纠正任务的工具。 Appscan扫描web应用的基础架构，进行安 全漏洞测试并提供可行报告与建议。它将 配置向导与详细的报表进行了事例，简化 使用，增加效率，有利于安全防范和保护 web应用基础架构
扫描原理
“Appscan全面扫描”包含两个阶段：探索和测试。 探索
可以点击“创建新的扫描”来创建您的第一次Web安全
扫描任务。
以下例子将选择“常规扫描”举例，点击右侧预定义模
板中的“常规扫描”链接，将出现“扫描配置向导”。 这里提供web应用程序和web server的扫描（如果需要 web server的扫描必须先下载）
我们显示使用测试案例的Web 站点：
下页面，可实时查看扫描出来的 安全问题。页面底 端实时更新已测试的元素数及发送的http请求数信息。
Web安全扫描任务完成。
“结果传家”通常在全面扫描之后自动运行，但是它也
可以在全面或部分扫描结果上随时手动运行。如果测试 时间有限的话，如果结果数量很大的话你可以决定不适 用“结果专家”。
在第一个阶段里，appscan会通过模仿成web用户单击链接并
填写表单字段来探索站（web应用程序或web server）这就是 探索阶段。探索阶段可以遍历每个URL路径，并分析后创建测 试点。
测试
在“测试”期间，appscan会发送它在“探索”阶段创建的成
千上万个定制的测试请求，通过你定制好的测试策略分析每 个测试的响应，最后根据规则识别应用程序中的安全问题， 并排列这些安全问题的风险级别。
Appscan工作流程
案例
启动 AppScan 应用程序，显示主窗体
主窗体内容
菜单栏 工具条 网站导航视图 结果列表 安全问题详细信息视图
如果你是第一次启动，屏幕中央将会出现一个“欢迎”
对话框。在此对话中，您可以点击“入门”链接，查看 IBM Rational AppScan 的“新手入门帮助文档”
创建模板，保存安全报告
http://localhost:8013。也可以使用IBM的测试web站点。 点击URL链接后的按钮可以打开APPSCAN浏览器查看网 站是否可以正常连接。
在弹出登录提示框时，用于登录这一测试站点的用户名
及密码为：admin/admin
选择适当的测试策略
完成配置后启动扫描专家的话，此时会关闭向导，并打