华克斯-appscan版本-appscan

appscan软件特色

　　“appscan? 扫描”包含两个阶段：探索和测试。 尽管扫描过程的绝大部分对于用户来说实际上是无缝的，并且直到扫描完成几乎不需要用户输入，但理解其后的原则仍然很有帮助。

　　探索阶段

　　在个阶段中，appscan 通过模拟 web 用户单击链接和填写表单字段来探索站点（web 应用程序或 web 服务）。这就是“探索”阶段。

　　appscan 将分析它所发送的每个请求的响应，查找潜在漏洞的任何指示信息。 appscan 接收到可能指示有安全漏洞的响应时，它将自动基于响应创建测试，并通知所需验证规则，同时考虑在确定哪些结果构成漏洞以及所涉及到安全风险的级别时所需的验证规则。

　　测试阶段

　　在第二个阶段，appscan版本，appscan 将发送它在探索阶段创建的数千个定制测试请求。 它使用定制验证规则记录和分析应用程序对每个测试的响应。 这些规则既可识别应用程序内的安全问题，又可排列其安全风险级别。

　　无 web 服务的站点

　　如果是没有 web 服务的站点，那么为 appscan? 提供起始 url 和登录凭证可能---使其能够测试站点。

　　如有---，appscan使用教程，还可以通过 appscan 手动搜寻站点，以便能够访问仅通过特定用户输入才能到达的区域。

　　web 服务

　　为了能够有效扫描 web service，appscan 安装包含一项工具，用户通过它可查看 web 服务中整合的各种方法，处理输入数据以及检查来自服务的反馈。

appscan测试移动应用程序安全性

appscan移动端应用程序根据其编程特点分为三大类：　　

mobile native application：使用移动设备 native language 开发的应用程序，开发速度快，应用程序稳定，但依赖于平台。（eg:  iphone 上使用 object-c， android 上使用 java）　　

mobile hybrid application：由 web ui 和底层 native layer 共同组成，可以跨平台。　

mobile web application：通过 浏览器进行交互，在已有的 pc 端网站上增添对移动端的支持，appscan，使其能适应移动端的特性。　　

无论是哪一类的应用程序，都是由移动平台---和服务器共同组成，移动平台---和服务器之间有多种通信协议，包括 xml，rest，soap 等。移动端应用比较多的是 rest（representational state transfer），因为 rest 模式的 web service 与复杂的 soap 和 xml-rpc 相比明显的简洁。越来越多的移动端 web service 开始采用 rest 风格设计和实现。由于其轻量级和简单的特性，基于 rest 构建的 web service 往往没有对应的“wsdl”文件定义。缺乏入口信息，采用安全扫描工具直接扫描很难达到有效覆盖。为了更有效的测试出移动应用程序的安全问题，在实践中通常采用探索 ->; 测试 ->; 再探索 ->; 测试的方式；或者在 ibm security appscan 中配置参数和模式使得扫描的结果。