高效率创建安全的Java应用, 第2部分 - 编程入门网
描模板概述
Rational AppScan 是一款功能强大的缺陷扫描工具,它能够在大量的缺陷区域中发现成千上万个弱点。其中某些测试区域,例如测试 Web 服务器和 Web 服务,和确保您的应用程序代码没有缺陷并不相关。因此,您需要裁剪您的缺陷扫描,剪除掉那些我们并不感兴趣的区域。 Rational AppScan 使用扫描模板,即被保存下来的用于某种特定类型的缺陷扫描的扫描配置。扫描模板使我们能够将这些定制的配置应用并且保存到特定的扫描中。Rational AppScan 自带若干个预先定义的扫描模板。然后,定制自己的扫描模板具有许多优势,例如:确保确保重新扫描时的精确复现以及同其他开发人员和团队进行共享等。 扫描应用程序 使用并且保存您自己定制的扫描模板,以便下一次重新扫描时使用。 从 Rational AppScan 欢迎窗口中选择 Create New Scan,或者从 Rational AppScan 内部点击 File 下拉菜单并且选择 New,如图 13 中所示。 图 13. Rational AppScan 欢迎窗口 接下来,确保 Launch Scan Configuration 向导被选中,并且从预定义模板中点击 Default,如图 14 中所示。 图 14. 启动扫描配置向导被选中 然后,我们选择想要执行的扫描类型: Web 应用程序扫描或者网络服务扫描。网络服务扫描包括基础构造,例如网络服务器的配置等。这种扫描类型同您的开发流程无关,所以我们选择 Web 应用程序扫描Web Application Scan,它专门用于扫描 Web 应用程序内部的缺陷,如图 15 中所示。 图 15. 选择 Web 应用程序扫描 高效率创建安全的Java应用, 第2部分(8)时间:2012-01-14 IBM David Whitelegg您被要求输入扫描的 Starting URL,如图 16 中所示。 图 16. 请求输入扫描的 Starting URL 选项 Full Scan Configuration 允许您详细地定制扫描,但是在本文中,由于您的 Web 应用程序相对小型而且并不复杂,所以您只需按照扫描配置向导点击下一步即可。输入您的 Web 应用程序的 URL:http://192.168.0.4:9080/Wealth/。 不要输入 login.jsp 或者 welcome.jsp,只需输入 URL 根目录即可,这是因为 Rational AppScan 将自动发现和分析 Web 应用程序的所有方面。 大小写敏感的路径对于运行在 Linux 或者 Unix 平台上的网络服务器来说,是十分重要的。 如果您需要配置代理设置来访问目标 Web 应用程序服务器,那么在屏幕底部提供了这一操作。与使用 IP 地址不同的是,您的目标 Web 应用程序将拥有一个完整的因特网地址或者内部域名。如果出现代理问题,您应当进入该屏幕并且对设置进行相应的修改。请注意 AppScan 并不支持代理例外。如果 localhost 被设置为例外的话,您应当在 AppScan 中将其设置为 Don''t Use Proxy。 点击 Next 进入 Login 管理屏幕(如图 17 中所示)。 图 17. 登陆管理 登录管理 Login 管理是扫描的关键部分。您希望 Rational AppScan 测试用户所能看到和做到的每一件事情;因此 Rational AppScan 需要能够以一名普通用户的身份许可证(登录)到您的 Wealth Web 应用程序中。您可以有多种选择,一种是被提示,即每当 Rational AppScan 发现一个登录页面时,它就会停止扫描并且将该页面显示在屏幕上。随后,您以一位用户的身份登录,Rational AppScan 记录下那些登录细节,并且使用这些信息完成后续的 Web 应用程序测试。 为了使您的扫描能够顺利地进行而不被中断,请使用自动选项。在开始扫描之前,为 Rational AppScan 提供登录的详细信息,并且将它们保存在扫描模板中,已被日后使用。 选择 Automatic 单选按钮,如图 17 中所示,然后输入用户名 tyler 和密码 tyler (或者您在第 1 部分中所使用的其他用户名和密码)。 您拥有配置 “In-Session” 检测的选项,Rational AppScan 会有管理用户网络 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |