IBM Security AppScan Enterprise 8.7中的手动资源管理器简介

IBM Security AppScan Enterprise Edition V8.7是用于Web应用程序和Web服务安全性的企业解决方案。除了扫描各种类型的安全漏洞之外，它还提供了高级安全测试和风险管理。与其他Web应用程序安全软件相比，IBM Security AppScan Enterprise可以：

查找最新的Web应用程序安全漏洞，并更新依赖于IBM X-Force研发团队的漏洞数据库的模式匹配规则。
提供由IBM安全专家设计和编写的专业修订建议。
生成40多个安全合规性报告，包括PCI数据安全标准，支付应用程序数据安全性（PA-DSS），ISO 27001，ISO 27002，HIPAA等。
提供集中的用户管理兼容性，并支持同时扫描的多用户和多个程序。

新的“手动资源管理器”工具包含在Security AppScan Enterprise中。本文介绍了对手动浏览器的需求，如何安装和配置手动浏览器以及如何查看输出。

需要手动浏览器

自动化的资源管理器工具可以显着提高您的扫描效率，但是它们无法浏览Web应用程序中的所有内容和URL。您需要一个手动资源管理器才能发现自动扫描可能无法发现的更多URL和内容。在以下情况下，手动浏览器很有用：

访问特定网页涉及特定的顺序。
例如，对于在线购物，用户必须先提交订单，然后再转到付款页面，然后再进入确认订单页面。使用Security AppScan Enterprise测试确认订单页面时，您需要添加订单并首先支付订单。
Web应用程序使用反自动化机制，例如需要输入验证码或问题答案的页面。
扫描特定页面时需要特定值。
对于某些动态生成的URL，自动探索工具无法找到孤立页面或Flash链接。
尽管Security AppScan Enterprise具有非常强大的浏览功能，可以解析甚至运行JavaScript并查找动态生成的URL，但是它无法浏览复杂的动态生成的URL。对于孤立页面，您需要手动添加它们。
您只想扫描几个网页，而不必进行全局扫描。

新的手动浏览器工具

原始的Security AppScan Enterprise手动探索插件不符合联邦信息处理标准（FIPS）PUB 140-2标准。 FIPS是由美国国家标准技术委员会（NIST）开发和发布的一组标准，该标准描述了文档处理，加密算法和其他IT标准，供非军事政府机构以及政府承包商和供应商使用与代理商合作。

FIPS PUB 140-2涵盖了加密模块的安全要求，并取代了FIPS PUB 140-1（于1994年发布）。为了适应各种密码模块应用程序和环境，该标准定义了四个安全级别。安全级别1提供最低的安全级别，安全级别4提供最高的安全性。 FIPS PUB 140-2的最新版本于2002年发布。

软件公司越来越多地获得FIPS 140-2标准合规性认证。认证可以极大地帮助公司提高产品质量并走向国际化。出售给美国政府机构以及受管制行业的所有软件都必须遵守此标准。当用户在扫描过程中输入其用户名，密码和其他机密信息时，该信息可能对第三方可见。因此，Security AppScan Standard和Security AppScan Enterprise V8.7中具有加密功能的所有组件和工具都必须符合FIPS 140-2标准。

要强制遵守FIPS 140-2，请在Security AppScan Enterprise中单击“常规设置”窗口中的“ 编辑 ”（从“管理”选项卡上的“企业控制台设置”）。要编辑企业控制台设置，请选中标有“启用增强的安全性”的框。这将禁用不兼容的功能，例如“手动浏览”插件。（在编辑设置之前，请确保已在系统上启用了FIPS 140-2。）

方便并降低维护成本

新的“手动资源管理器”工具更加方便，维护成本更低。因为原始的Manual Explorer是浏览器插件，所以开发人员必须为每个浏览器开发插件并不断维护更新，这会产生很大的工作量。新的手册浏览器与Firefox，Internet Explorer和其他浏览器兼容。有一个简单的配置可帮助您选择要使用的浏览器。新的“手动资源管理器”工具也比以前的版本具有更好的性能。

可编辑性和重用性

手动浏览器生成的浏览数据是可编辑和可重用的。可以将其另存为.htd文件，您可以使用Traffic Viewer查看和编辑该文件。 Traffic Viewer是一个功能强大的HTTP调试器，可用于浏览URL和进行故障排除。

安装和使用手动浏览器

创建内容扫描作业后，可以下载Manual Explorer。如果安全性AppScan Enterprise安装在本地服务器上，则还可以通过双击AppScan Enterprise \ WebApp \ downloads目录中的ManualExplorerSetup.exe来安装Manual Explorer。通用服务客户端（GSC），Glass Box和Traffic Viewer工具也在此目录下。

如果您希望进行快速扫描，请从“管理”选项卡中选择“ 用户设置”，然后选中标有“使用浏览器中的浏览器插件在QuickScans中记录URL”的框，而不是“导入数据流文件”，默认情况下选中此框。否则，您将无法导入HTTP数据流。

请按照以下说明在常规扫描中使用“手动资源管理器”。

在IBM Security AppScan Enterprise主窗口中，选择“ 扫描”，然后单击“ 添加”以创建内容扫描作业。
在“要扫描的内容”窗口中，展开“ 手动浏览” ，如图1所示，然后在“手动浏览”部分中单击“ 添加 ”。
图1.手动浏览
选择“使用手动资源管理器工具或AppScan Standard资源管理数据文件”按钮，如图2所示。
图2.导入手动浏览数据
单击下载以下载ManualExplorerSetup.exe，然后进行安装。
安装完成后，启动“手动资源管理器”。您可以通过选择文件 > 首选项进行配置。在“首选项”窗口中，使用以下信息，如图3所示。单击完成。
- 浏览器：用户设置的默认浏览器。
- 首选代理端口：默认为9999。如果使用默认端口，则手动浏览器将自动选择另一个端口。
- 跟踪日志级别：错误，警告，信息和详细。默认值为错误。
图3.手动配置资源管理器

如果Manual Explorer生成了日志文件，请单击View Log链接，如图3所示，以查看详细信息。
配置手动浏览器后，您可以开始记录URL。确保在手动浏览器中设置的浏览器已关闭。
在“手动浏览器”主窗口中单击“ 记录... ”以开始记录URL。将打开一个浏览器，您可以在其中输入起始URL并开始浏览。

如果要浏览以https开头的网站，将显示一个标题为Untrusted Connection的警告窗口，如图4所示。单击Yes 。

图4.不受信任的连接
探索完成后，将探索的数据另存为.htd文件，然后关闭浏览器。返回到Security AppScan Enterprise中的“手动浏览”窗口，然后导入.htd文件。手动资源管理器工具将过滤掉许多URL路径，例如pdf，jpeg，gif，tar，doc，m4p等。在“手动浏览URL”窗口（图5）中，您仍然可以在导入期间从“手动浏览URL”列表中删除不必要的URL。
图5.手动浏览URL