jenkins安装不上awvs插件的ca证书_awvs 客户端证书

jenkins+Acunetix实现自动化安全测试

我当时遇到的问题解决方法：接下来就是输入主机名，输入邮箱（登陆账号）和输入密码。主机名这里要填写一个域名，如awvs.jenkins.xom，这样才能和jenkins连接成功。

jenkins+Acunetix实现自动化安全测试

目前主流的开发采用的是devops模式（开发、测试、运维一体化）。随着互联网安全要求越来越高，对网络安全就越发变得重要了。传统的测试工程师主要是对功能、接口、性能方面做测试，而对安全方面测试考虑很少。需要专业的白帽子工程师来实现测试，对人的要求较高。目前提出devsecops模式，也就是增加安全测试这块。

DevSecOps 是一种把安全的最佳实战集成到DevOps的流程里面。 DevSecOps包括创立一种 安全即代码（‘Security as Code’ ）的文化，从而在发布开发工程师和安全团队之间，建立一种可以持续的，灵活合作的机制和流程，从而把在传统软件开发流程里面最后由安全测试团队把关扫描的安全工作，左移到整个软件开发的全流程，从而大大降低了应用在上线后出现的安全隐患，也大大加快了上线的速度，同时也让其他非安全团队的软件人员在开发、测试、发布的全过程中，有安全意识，而不是出现问题的时候补救，甚至大大修改框架。

以下安装步骤都基于centos7

1、Jenkins简介

Jenkins是一个开源的软件项目，是基于java开发的一种持续集成工具，用于监控持续重复的工作，旨在提供一个开放易用的软件平台，使软件的持续集成变成可能。

1.持续的软件版本发布/测试项目

2.监控外部调用执行的工作

2、awvs简介

Acunetix Web Vulnerability Scanner（简称AWVS）是一款知名的网络漏洞扫描工具，它通过网络爬虫测试你的网站安全，检测流行安全漏洞。

3、环境准备

3.1、JDK安装

1.下载JDK(推荐java11)

打开JDK下载地址，下载你想要的版本

https://www.oracle.com/java/technologies/downloads/#java11

2.上传下载好的JDK到服务器后解压并安装

3.配置环境变量

vim /etc/profile

#java11

export JAVA_HOME=/usr/local/install/jdk-11

export PATH=$JAVA_HOME/bin:$PATH

配置完成后运行source /etc/profile

查看java是否安装成功java -version

3.2、Jenkins安装(推荐war文件部署)

1.下载jenkins

wget https://get.jenkins.io/war-stable/2.332.2/jenkins.war

2.运行jenkins

java -jar jenkins.war

3.安装后设置向导

下载安装并运行Jenkins后，即将开始进入安装向导。

此安装向导会引导您完成几个快速“一次性”步骤来解锁Jenkins， 使用插件对其进行自定义，并创建第一个可以继续访问Jenkins的管理员用户。

3.3、awvs安装

1.下载awvs

Awvs下载地址https://www.123pan.com/s/vPtA-NYNCA 提取码:0101

2.上传下载好的awvs到服务器后解压并安装

执行安装

安装包是.sh文件，我们可以直接通过 ./xxx.sh命令安装

到如下步骤，可以直接按q跳过

是否同意协议，输入yes

接下来就是输入主机名，输入邮箱（登陆账号）和输入密码。主机名这里要填写一个域名，如awvs.jenkins.xom，这样才能和jenkins连接成功。

接下来等待安装完成即可。

3.破解awvs

破解文件链接地址：https://www.123pan.com/s/vPtA-OYNCA 提取码:0101

破解文件使用方法：

1.修改本地HOSTS文件，增加以下3条域名解析：

   127.0.0.1 updates.acunetix.com

   127.0.0.1 erp.acunetix.com

127.0.0.1 bxss.me

2.将license_info.json和wa_data.dat文件放置于以下目录：

Linux >>> /home/acunetix/.acunetix/data/license/

3.设置 license_info.json 为只读模式。

4、jenkins 安装Acunetix的插件

在jenkins 插件管理市场中搜索到Acunetix 插件

安装完成后在已经安装插件列表中会显示

安装好插件后，重启jenkins 使得插件生效

5、安装Acunetix 证书到 JAVA keystore 中

5.1、Acunetix ca 证书是什么东西，在哪里呢？

使用到Acunetix 会用到https，所以我们需要将Acunetix ca证书安装到jenkins 依赖的jdk java keystore中。我这里使用的是
acunetix_14安装版本，安装后会在/home/acunetix/.acunetix/data/certs 目录下生成 ca证书

5.2、jdk 如何导入Acunetix ca 证书呢？

从命令提示符运行以下命令：

keytool -import -trustcacerts -alias AcunetixCA -keystore /opt/jdk-11.0.14/lib/security/cacerts -file /home/acunetix/.acunetix/data/certs/ca.cer -storepass changeit

确认已在linux上成功安装证书

keytool -list -v -keystore "/opt/jdk-11.0.14/lib/security/cacerts" -storepass changeit -alias AcunetixCA

6、jenkins中配置Acunetix插件

6.1在jenkins 中 manage Jenkins ——Configure System找到下图位置

6.2在Acunetix API Key 增加Acunetix key

点击“添加” 按钮 设置Jenkins 凭据提供者

6.2.2 Acunetix key 是从哪获取的呢？

登陆Acunetix 平台后点击profile

复制生成的api key的到上面Jenkins 凭据提供者中的secret 中

6.3点击Test Connection 验证配置是否成功

7、jenkins 项目中配置Acunetix实现自动安全测试

7.1新建test项目，添加acunetix scan 配置

1 Scan Type

这里面根据扫描的类型（完全扫描、扫描高风险漏洞、扫描XSS漏洞、扫描SQL注入漏洞、弱口令检测、Crawl Only,仅爬虫、恶意软件扫描）等属性进行扫描

2 Scan Target

这个里面是根据acunetix 平台中目前存在的目标项列出，我们根据自己的实际项目选择一个目标项目

3.Fail the build if threat level is

这个根据自己实际项目来（不要使构建失败、高危、中危和高位、低位中危高危）

目前我们设置有漏洞也不阻止构建失败

4.Generate Report

这里面会根据报告模版创建各种报告，目前我们默认就选择developer 就可以了

设置好点击保存

8、jenkins 项目中实现自动安全测试

点击项目构建，完成项目 编译、打包、单元测试、接口测试、安全测试等。

我这里只是设置了安全测试 其他这里就不做重点介绍。

构建后自动生成安全测试报告。

以上，我们通过jenkins+Acunetix 实现了 安全自动化测试，这样我们再结合其他单元测试、自动化接口测试，就实现了简单的DevSecOps功能了。