127.0.0.1：AppScan 代理默認(rèn)綁定地址

　　18080：AppScan 代理默認(rèn)綁定端口號(hào)

　　配置完端口映射工具以后，根據(jù)信息配置 iOS 端網(wǎng)絡(luò)，使移動(dòng)端應(yīng)用程序數(shù)據(jù)通過發(fā)往 AppScan 代理。進(jìn)入 iPhone, 選擇設(shè)置 -> 無線局域網(wǎng) -> 當(dāng)前網(wǎng)絡(luò) -> 詳細(xì)信息 ->HTTP 代理，配置相應(yīng)的服務(wù)器和端口信息。服務(wù)器 IP 為 AppScan 所在 Server 端 IP 地址，端口為 rinetd.conf 里配置的端口信息，如下圖所示：

　　圖 2. 移動(dòng)端配置

　　移動(dòng)端和 AppScan 通過代理建立完鏈接以后，啟動(dòng) AppScan 新建常規(guī)掃描，進(jìn)入配置向?qū)?。首先選擇探索站點(diǎn)的基本方法：外部設(shè)備 / 客戶機(jī)(AppScan 作為記錄代理)，點(diǎn)擊下一步。

　　圖 3. 配置 AppScan 連接外部客戶機(jī)

　　選擇代理端口和記錄位置，代理端口為 rinetd.conf 里配置的端口，記錄位置選擇“該機(jī)器上的外部客戶機(jī)”

　　圖 4. 配置 AppScan 代理

　　點(diǎn)擊下一步，選擇默認(rèn)選項(xiàng)直到“登陸管理”頁面。到達(dá)登陸管理頁面以后，打開移動(dòng)應(yīng)用程序并進(jìn)行登陸操作，AppScan 會(huì)自動(dòng)記錄下客戶端和服務(wù)端的登陸過程以及登陸信息。由于安全性或者其他設(shè)置，AppScan 有時(shí)無法成功記錄登陸信息，此時(shí)通過“完全掃描配置 -> 登陸管理”選擇自動(dòng)登陸，輸入相應(yīng)的賬號(hào)信息即可解決問題。

　　圖 5. 配置登陸管理

　　選擇測(cè)試策略，可以導(dǎo)入測(cè)試策略文件，按測(cè)試策略來進(jìn)行有針對(duì)想的掃描。

　　圖 6. 配置策略文件

　　以上選項(xiàng)都已經(jīng)配置完成以后，AppScan 會(huì)自動(dòng)打開外部流量記錄器，安全性測(cè)試人員只需要在 mobile 端手動(dòng)測(cè)試即可。AppScan 會(huì)自動(dòng)記錄用戶的流量和行為，模擬人的使用方式從而探測(cè)出實(shí)際使用中可能會(huì)產(chǎn)生的安全性問題。

　　圖 7. 啟動(dòng)流量監(jiān)控器

　　使用 AppScan 測(cè)試移動(dòng)應(yīng)用程序

　　配置完成以后，AppScan 作為代理會(huì)記錄客戶端和服務(wù)器端的交互，并基于用戶行為進(jìn)行安全性探測(cè)和分析。由于安全性分析是基于用戶對(duì)移動(dòng)應(yīng)用程序的操作，因此迭代的方式更有助于保證安全性測(cè)試質(zhì)量。在實(shí)踐中，安全性測(cè)試人員通常先選擇“探索”，然后在移動(dòng)端完整的覆蓋所有的頁面和輸入控件，AppScan 代理記錄完這些流量信息以后，點(diǎn)擊“測(cè)試”。得到一輪測(cè)試結(jié)果。通過分析這些測(cè)試結(jié)果，安全性測(cè)試人員確立下一輪測(cè)試的重點(diǎn)和目標(biāo)，在問題高發(fā)的區(qū)域用更多的輸入組合進(jìn)行探索，進(jìn)一步發(fā)現(xiàn)問題。通過不斷的迭代，可以使得安全測(cè)試達(dá)到一個(gè)很高的覆蓋率。

　　圖 8. 獲取迭代測(cè)試結(jié)果

 2/3   首頁 上一頁 1 2 3 下一頁 尾頁