AppScan在移动Web和APP安全测试中的应用指南
appscan的使用,除了可以用于电脑版web端的测试,还可以用于手机浏览器web端和APP的测试。之前写过电脑web的安全测试,现在将APP端的相关配置记录一下。
web版:[Web安全测试] AppScan使用教程_JoelyGo的博客-****博客
APPScan扫描移动端和APP应用程序的操作教程
1、打开AppScan
2、文件-->新建-->创建新的扫描,弹出配置向导窗口,选择第三项:使用外部客户机扫描
3、根据向导进行配置
记录代理配置
记录代理端口:可以选择自动分配端口,也可以自行设置固定端口。我选择的是自动分配端口
使用第三方客户机:选择远程
4、下一步,根据页面提示在本机安装SSL证书,界面如下
5、手机进行相关的配置
1)将手机和电脑接入到同一wifi,配置手机wifi的代理:IP是电脑本机的IP地址,端口是之前设置的端口,第3步在appscan界面有显示的,如下图所示。
注意:电脑和手机必须要在同一局域网下(连同一个WiFi)
2)手机浏览器访问http://appscan,如下图显示,下载并安装证书。下载完成后,手机连入到AppScan中,会提示是否将IP地址(手机IP地址)加入到白名单,点击允许。
注意:IOS安装后,需要在关于手机-->证书信任设置,信任刚安装的证书才可以使用AppScan代理
6、手机配置完后,appscan会弹出一个外部连接窗,点击允许
7、登录管理:因为外部设备测试需要手动遍历功能,不需要AppScan自动登录,所以这里不需要操作,不过也可以点击记录测试一下是否可以收到外部请求。
8、测试策略使用默认的,下一步,点击完成配置
9、完成配置后,进入外部流量记录器页面---这时,可以手动操作手机浏览器去访问移动端系统或者App应用程序进行功能遍历。
注意:手机需要杀掉除被测APP外的其它应用程序,操作功能试最好是有增删改查,尽量手动遍历所有的功能。
10、功能遍历结束,选择需要的域,点击确定后导入到AppScan中,开始进行扫描和探测。
测试完成之后,保存本次AppScan扫描测试的结果;从统计出的安全性问题,可以查看对应的漏洞链接、请求和响应、修复建议。
推荐阅读
-
什么是可用性测试?有效性(Effectiveness)-- 用户完成特定任务和实现特定目标的正确性和完整性程度;效率(Efficiency)-- 用户完成任务的正确性和完整性程度与所用资源(如时间)之比;满意度(Satisfaction)-- 用户在使用产品时的主观满意度和接受程度。 2.如何获得可用性? 可以参考以下原则:Gould、Boies 和 Lewis(1991 年)为以用户为中心的设计定义了 4 个重要原则: 早期以用户为中心:设计者应在设计过程的早期就努力了解用户的需求。 综合设计:设计的所有方面都应同步发展,而不是按顺序进行。使产品的内部设计始终与用户界面的需求保持一致。 早期和持续测试:当今唯一可行的软件测试方法是经验主义方法,即如果实际用户认为设计可行,该设计就是可行的。通过在整个开发过程中引入可用性测试,用户就有机会在产品推出之前对设计提出反馈意见。 迭代设计:大问题往往掩盖了小问题的存在。设计人员和开发人员应在整个测试过程中对设计进行迭代。 3...什么是可用性测试? 可用性测试是根据可用性标准对图形用户界面进行的系统评估。 可用性测试是衡量用户与系统(网站、软件应用程序、移动技术或任何用户操作设备)交互时的体验质量。4.如何进行可用性测试? l 实验室实验
-
AppScan在移动Web和APP安全测试中的应用指南