利用AppScan检测JavaScript安全漏洞

AltoroMutual是IBM所提供的Web安全漏洞演示网站，下文笔者将向读者展示如何利用AppScan JSA来检测该网站所存在的JavaScript安全漏洞。

启动AppScan，点击菜单"扫描–扫描配置"打开扫描配置对话框，设置起始URL为"http://demo.testfire.net"。

▲图1.设置起始URL

在扫描配置对话框左侧，点击"登录管理"，然后点击右侧的"记录..."按钮录制登录过程，确保会话中检测处于活动状态。

▲图2.设置登录方法

在扫描配置对话框左侧，点击"测试策略"，检查测试策略设置。默认测试策略应该是"缺省"，其已经包含了常见JavaScript测试，可以点击"已启用/已禁止"查看当前默认启用的测试策略。

▲图3.检查测试策略

关闭扫描配置对话框，点击菜单"扫描--仅探索"或单击快捷按钮(如图4所示)启动探索。本文仅示例如何检测JavaScript安全漏洞，所以选择"仅探索"+客户端JavaScript分析的测试方式。

▲图4.启动探索

点击菜单"工具–扩展名–JavaScript Security Analyzer"或者快捷按钮(如图5所示)打开"分析JavaScript"。在弹出的JavaScript Security Analyzer对话框中，单击"立即分析"。

(责任编辑：)