WEB安全评估系统用户手册

1、WEB安全评估管理系统（WESM）用户手册1 WSEM概述1.1 WSEM简介WEB安全评估管理系统(WSEM)在java tomcat应用服务器中运行。其中，安全评估模块、项目管理模块、用户管理模块、知识库管理模块和项目风险统计模块是本系统的主要功能模块，SSCA源代码评估工具和SSVS安全测试工具是与本系统交互的安全工具组件。SSCA软件安全分析器和SSVS安全测试工具将代码扫描文件和安全测试文件以xml的方式传递给安全评估模块，安全评估模块将上传的结果信息整理入库，项目风险统计模块根据入库信息提供统计报表。知识库管理模块对代码扫描和安全测试的规则进行编辑，编辑好的规则通过组件接口下发给S

2、SCA软件安全分析器和SSVS安全测试工具，安全工具根据下发规则对源代码和系统进行扫描。1.2 运行环境运行WSEM所需要的硬件及软件环境如下：l CPU Pentium 2.4GHz及以上l 内存 512MB及以上l 硬盘 40GB及以上l 网卡 100Mbps 及以上l 操作系统 Windows 2000/XP/2003，Vista等2 安装与卸载2.1 安装双击安装程序wsem setup.exe，进行WSEM的安装，如下图所示点击“下一步”，显示用户许可协议，用户需选择“我同意该许可协议的条款”能继续安装。如图：点击“下一步”，要求输入用户名和公司名，如图：点击“下一步”，要求选择安装

3、路径，默认安装在C:Program filesWSEM，用户可根据需要修改该路径。如图：注意：请确保路径中没有其它特殊字符。点击“下一步”，选择创建快捷方式的位置。如图：点击“下一步”，确认安装的配置。如下图：点击“下一步”，程序开始安装。如下图：安装一般需要几分钟，请耐心等待。快安装成功时会有如下提示配置My_SQL端口号的窗口，默认为“3306”，如下图：点击“OK”，又会出现如下提示窗口，提示配置Tomcat端口号，默认为“8080”如下图：、点击“OK”，确认端口进入完成界面，如下图：待程序安装完毕，会提示安装成功，点击“重新启动”即完成安装。2.2 卸载执行WSEM的卸载程序，会卸载

4、WSEM安装时创建的所有程序文件。在开始菜单选择“所有程序”中找到WSEM，如下图：点击“卸载WSEM”，会提示是否卸载WSEM，如下图：点击“下一步”，卸载程序开始 卸载WSEM，如下图：卸载完成，点击“完成”，关闭窗口，此时程序卸载成功。如下图3 快速入门(各模块页面操作)3.1 启动WSEM右击“我的电脑”，在弹出的右键菜单中选择“管理”，将打开计算机管理，如下图所示： 点击“服务和应用程序”左侧的“+”打开服务与应用程序树，然后点击数中的“服务”项，在右侧拉动滚动条到最后项，可以看到两项服务：WSEM_MySQL和WSEM_Tomcat如下图所示：此时两项服务都是手动开启，选择WSEM

5、_MySQL，右击则弹出一菜单栏，然后点击 “启动”如下图所示：同样选择WSEM_Tomcat，右击则弹出一菜单栏，然后点击 “启动”，则启动了两项服务。此时在IE浏览器中输入http:/localhost:8080/WSEM后，就打开了WSEM3.2 界面框架双击WSEM图标后，将打开WSEM的登陆界面，如下图：输入用户名及密码然后，点击“登录”进入主页面，如下图所示：3.3项目管理模块点击左侧功能导航树栏的“项目管理”，进入项目管理页面，如下图：用户可以对项目信息进行添加，查询，编辑（），删除()等操作。注意：添加或编辑（修改）时项目名称不能相同。点击项目列表右侧“添加”按钮进入添加页面，

6、如下图：、用户在填写好项目相关信息后（其中后面带红色“*”号为必填项），在用户信息列表中选择一个或多个用户（点击用户名左侧的空白方框按钮，当出现对号则表示选中），表示把该项目添加到这些用户的名下，然后点击“确定”完成添加。点击项目列表右侧“查询”按钮进入查询页面，如下图，用户可以根据输入的查询条件进行查询，；例如查询项目编号为2的项目，在项目编号栏输入“2”，然后点击“确定”，进入查询结果页面，如下图：点击 打开项目编辑窗口，对项目进行编辑，如下图：点击项目右侧（删除），会弹出是否删除的选择窗口对项目进行删除，如下图：点击“确定”，则删除此项目。3.3 用户管理模块用户信息管理点击功能导航树栏

7、的“用户管理”打开用户管理树，然后点击“用户信息管理”进入用户信息页面。 用户可以进行添加，查询，删除（按钮），编辑（按钮）操作。注意：添加或编辑（修改）时用户名称不能相同，如下图：点击用户列表右侧的“添加”进入添加页面，如下图：其中后面带红色“*”号的为必填选项，而部门和用户角色则在下拉框中进行选择。点击用户右侧的进入编辑页面，可以对用户信息进行编辑，而带红色“*”号的选项不能为空，如下图： 部门信息模块点击“部门信息管理”进入该页面，用户可以进行添加，编辑等操作，如下图：注意：添加或编辑（修改）时部门名称不能相同。页面上显示的部门信息是系统默认的，只能通过“编辑”进行修改，不能删除，如点击

8、部门编号为“0”，描述为默认的部门右侧的 删除按钮，会出现提示窗口，如下图所示：点击提示窗口的“确定”，然后进入部门列表窗口，如下图所示：由图可以看出，该部门没有被删除。用户角色模块点击“角色信息管理”进入该页面，如下图：页面显示的3个角色设置为系统默认的，只能编辑（ ），不能删除（）注意：添加或编辑（修改）时项目名称不能相同，例如我们添加一个角色名也为“经理”的用户看会出现什么结果。点击“添加”进入添加页面，如下图：其中“角色权限”项的内容可以在其下面的选择框中点击选择，为该角色添加相应的角色权限，以限定该角色的操作功能。点击“确定”，就会进入角色列表窗口，如下图：系统在角色列表上方显示：添

9、加角色失败，已存在相同名称的角色，说明添加失败。点击角色管理主页面上的角色名为经理的“编辑”项（），用户可以进入该角色的编辑页面，看到相关信息，如下图：用户可以看到经理这一角色的权限：拥有对项目进行安全测试，风险统计，项目管理模块的操作权限。提示：用户管理信息模块和部门信息模块的信息在用户信息模块中要用到。 用户信息模块的内容在项目信息模块中要用到。3.4风险分类模块点击功能导航树栏的“风险分类“进入该页面，如下图所示：点击打开其中一条树，点击相应的项，可以在右边显示其内容。例如点击第二项“2 API误用”，然后点击第一项“2.1 代码正确性:调用System.gc()”，如下图所示：点击“添

10、加“，右边会出现添加页面（如：在api误用中添加一项名为”wwwww“）。可以在左边页面看到添加的项，点击确定则该项添加成功。3.5 代码扫描规则模块点击功能导航树栏的“代码扫描规则管理”进入该页面，如下图所示：用户可以进行添加，查询，导入，导出等操作。点击代码扫描规则右侧的“导入”按钮，进入导入窗口。如下图：点击“浏览”，弹出窗口，如下图所示：选择要上传的文件，点“确定”则可以上传，注意：上传的文件必须是压缩成zip包的xml文件。点击代码扫描规则右侧的“导出”，弹出导出窗口，如下图：选择相应的地址进行保存，导出的是此时数据库中所有的代码扫描规则。3.6 安全测试模块点击功能导航树栏的“安全

11、测试规则管理”进入该页面，如下图所示：点击安全测试规则右侧的“导入”，进入导入窗口，点击“浏览”。如下图：选择要导入的文件点击确定。3.7 解决方案点击功能导航树栏的“解决方案管理”进入该页面，如下图：3.8参考资源点击功能导航树栏的“参考资源管理”进入该页面，如下图所示：4 报表分析从登陆页面进入到主页面后，用户如果要查看项目风险统计和项目安全评估，则要先在项目管理模块中选择一个项目，如图：点“进入项目”进入一个项目，如图：用户可以对项目风险统计和项目安全评估进行操作（注：一个用户登陆后进入项目管理，只能看到属于自己的项目，这个在项目添加页面里的用户信息列表中可以选择把项目加到用户名下）4.

12、1项目安全评估安全测试点击“项目安全评估”中的“安全测试”，如下图：用户可以进行上传，查询等操作。点击“上传”按钮，进入上传页面，点击浏览，如图所示：选择要上传的文件，然后点击“打开”，则上传成功。点击编号为1右侧的“查看”可以看到，如下图：其中“导出为PDF格式”和“导出为HTML格式”两个按钮可以把该页面信息导出为指定的格式，以便保存，如点击“导出为HTML格式”，如下图：代码测试 点击“项目安全评估”中的“代码审查”，进入代码审查界面，如下图：点击右侧“上传”，打开上传窗口，点击浏览，如下图：选择要上传的文件，点击“打开”，上传成功。4.2 项目风险统计点击“项目风险统计”，进入项目风险统计界面，如下图：项目风险统计点击右边页面中的“项目风险统计”，用户可以看到项目的历史（最近两次）风险统计报表图，如下图：安全测试风险统计点击“安全测试风险统计”下的风险统计结果，显示最近一次上传的测试结果的报表。页面如下图：安全测试风险历史统计点击“历史风险统计”，显示最近两次统计的报表如下图：安全测试阶段风险统计点击“阶段风险统计”，显示所选时间段内