軟件安全測試和開發之基于滲透測試和源代碼掃描的方法

　　圖 4. 掃描 URL 配置

appscanouncersar/image004.png" width="572" height="340">

　　(點擊查看大圖)

　　完成指定掃描的起始 URL 后，我們將一個擁有普通用戶權限的用戶名和密碼輸入到 AppScan 的自動登錄選項中。AppScan 還支持通過錄制并在測試時播放的方式進行登錄。

　　圖 5. AppScan 掃描登錄配置

　　(點擊查看大圖)

　　在 AppScan 中，測試策略的選擇會對不同的 Web 應用和 Web Service 產生影響。在本示例中我們僅選擇了針對 Web 應用和 Tomcat 應用服務器的具體中高漏洞等級的自定義測試策略。其實當我們打開每一個具體的測試策略時，會發現 AppScan 在其中定義了包括針對 Java、.NET、PHP 等不同類型網站測試類型種類和相應安全問題嚴重程度的級別。

　　圖 6. AppScan 安全測試策略配置

　　(點擊查看大圖)

　　圖 7. AppScan 安全測試策略的詳細內容

　　(點擊查看大圖)

文章來源于領測軟件測試網 http://www.kjueaiud.com/