天创培训:您身旁的信息安全培训专家!
栏目列表
手艺中心奥门金沙总站6165com
开班方案
2019年1月CISP培训开班告诉
主讲教师   张教师、王教师等
开课工夫   2019年1月8日-13日
培训方法   实地/面授
讲课天次   培训5天+测验半天
上课工夫   09:00 -- 16:30
金莎网址 在线报名
手艺中心您当前位置: > 资本专区 > 手艺中心

利用 IBM Security AppScan 停止自动化 Web 应用程序破绽扫描

作者:天创培训  滥觞:px.tcnet.com.cn  更新工夫:2016-06-19  关键词:破绽扫描金莎网址

 本文利用两个示例注释了如何利用 IBM Security AppScan Standard Edition 对 Web 和 Web 服务应用程序停止主动的安全漏洞测试。作者还设定了一些示例场景来讨论羁系合规性陈述功用。

 

跟着全球毗连性日趋增长,安全风险也在增长

据 IBM® X-Force® 2011 年中趋向与风险陈述称,2011 年可谓是 “安全隐患年”,由于在 2001 的上半年就陈述了大量的高端安全隐患,其数目可谓史无前例。全球范围内更加互联化、智能化和仪表化且不竭扩大的网络世界招致各类风险和伤害日趋增长,同时管理企业和根底架构方面的网络安全进犯也变得更庞大,更艰难。

该陈述表白,在 2011 年的上半年,所有破绽中有 37% 是 Web 应用程序破绽。无法庇护 Web 应用程序的安全能够招致丧失惨痛,包罗财政方面和应用程序的机能方面。大部分基于 Web 的要挟都源自于许可 SQL 注入、跨站剧本 ()、伤害的会话信息等的源代码中的代码差别。假如没有施行严厉的安全质量保证步伐,浏览器的安全性也会轻松遭到毁坏。如需概览今朝的应用程序安全状况,能够下载此陈述(请检察  中的链接)。

IBM® Rational® AppScan® 产物系列可主动对 Web 应用程序(Web 服务和 Web 2.0)和富 Internet 应用程序(JavaScript、Ajax 和 Adobe Flash)的 Web 破绽随时停止安全测试。经由过程扫描应用程序、肯定各类破绽、天生差别陈述,并在 Web 上布置应用程序之前供给弥补倡议,这类能够随时停止的安全测试办法在应用程序的开辟到测试阶段都能供给协助。

IBM Security AppScan 的各个版本能够满意大中小型开辟团队的需求,为您供给了片面的挑选范畴:

  • Source Edition 专为辅佐开辟团队而定制,在 AppScan Enterprise 的基础上增加了源代码阐发和静态应用程序安全测试 (SAST)。

  • Enterprise Edition 是一个经由过程治理、合作和安全智能实现应用程序安全测试和风险管理的企业级解决方案。

  • AppScan Tester Edition 是一个静态的应用程序安全测试 (DAST) 解决方案,专为利用 Rational Quality Manager 将应用程序安全测试集成到 QA 情况中而设想。

  • Standard Edition 是一个枢纽的桌面安全测试东西,次要设想用于实现 Web 破绽评价自动化。它可天生静态和静态破绽阐发并提供响应的修复倡议。

在本文中,我们将讨论 IBM Security AppScan Standard Edition V8.5 的功用,施行主动的 Web 和 Web 服务应用程序安全测试和破绽测试。我们还会讨论其羁系合规性陈述功用,这是自动化 Web 和 Web 服务应用程序安全测试和破绽测试的一部分。

为了讨论 AppScan Standard Edition v8.5 的功用,我们将利用 PlantsByWebSphere v8.0.0.1(Ajax 版本),该应用程序作为一个示例包罗在 WebSphere Feature Pack for Web 2.0 and Mobile 版本 1.1.0 中。图 1 显现了该应用程序的启动屏幕。

Plants by WebSphere 示例应用程序:Gardens of Summer

留意:
有关此示例应用程序的详细信息,请参阅  部门中的链接。

IBM 供给了 PlantsByWebSphere 及其源代码。该示例应用程序是我们的安全性和破绽测试操练的幻想候选法式,由于它契合使用编程接口 (API) 的要求而且在其设想要求中就没有要求具有壮大的安全性。IBM 在其托付的源代码中明白地供给了免责声明。您可轻松设置该示例,而且在讨论 AppScan 的功用时,也能够轻松地重现本文中注释的各个操纵步调。

还供给了图 2 中显现的 HelloWorld JAX-WS Web 服务应用程序,该法式曾经布置到 IBM® WebSphere® Application Server v8.0.0.1 运转时,旨在进一步讨论 AppScan Standard Edition v8.5 的功用。

HelloWorld JAX-WS 应用程序的业务办法 sayHello() 承受一个 HelloReq 工具并返回一个 HelloResp,同时用个人问候动静来问候已定名的个人。HelloReq 和 HelloResp 工具包罗了字符串范例属性,别离用于对称号和呼应停止定名。

金莎网址

 

Web 应用程序的主动安全测试和破绽测试

起首,利用如图 3 中所示的 Scan Configuration Wizard 设置一次完好的、片面的 PlantsByWebSphere Web 应用程序扫描。设置扫描配置文件,以提醒此 Web 应用程序的安全漏洞之前,需求确保 WebSphere Application Server v8.0.0.1 曾经运转,PlantsByWebSphere 应用程序已布置到运转时而且正在运转,如图 2 所示(pbw-ear 企业应用程序形态在 Application Status 列中显现一个绿色箭头)。

  1. 启动 IBM Security AppScan Standard Edition v8.5。

  2. 挑选 File > New。

此 New Scan 对话框窗口(图 3)形貌了针对各类预定义模板的基于导游的扫描。

列出近来的和预定义的模板

对于此示例,我们挑选了 Comprehensive 扫描,如表 1 所示,该设置指定了给定 URL 处的 Web 应用程序、主动登录(利用所需的根据)并施行完整扫描。

  1. 启动 Scan Configuration Wizard 并指定表 1 中所列的选项。

表 1. 扫描设置选项,PlantsByWebSphere Web 应用程序
扫描扫描设置选项指定的设置
1Predefined TemplateComprehensive scan
2Type of ScanWeb application scan
3Starting URL for Scanhttp://localhost:9085/PlantsByWebSphere/orderdone.jsf
4Login MethodAutomatic
5Login CredentialsUser name: [email protected]
Password: plants
6Test PolicyComplete
7Scan Start MethodStart a full automatic scan

留意:
按照您的安装和设置状况,主机命、端口号和用户根据能够有所不同。

  1. 如今挑选表 2 中所列的情况设置界说。

表 2. 情况设置界说,PlantsByWebSphere
数据表示例
扫描情况设置界说指定的设置界说
1Operating System (of site being scanned)Windows
2Web serverIBM HTTP Server
3Application Server (if any)WebSphere
4Type of Database (if any)DB2
5Third-Party Component (if any)Not Defined
6Location of SiteLocal
7Type of SiteTest
8Deployment MethodInternally
9Collateral Damage PotentialLow Medium
10Target DistributionHigh
11Confidentiality RequirementMedium
12Integrity RequirementMedium
13Availability RequirementMedium

图 4 展现了为扫描设置指定的情况界说。

New Scan

这是 Microsoft Windows 的设置。应用程序在 WebSphere Application Server 上运转而且利用 DB2 默许数据库。

  1. 让 AppScan 施行片面的安全和破绽测试扫描。

如图 5 所示,在 AppScan 完成片面的安全和破绽扫描后,会得到了一组安全倡议,比方成绩总数 (54),高 (bold exclamation in square12)、中 (bold exclamation in down arrow2)、低 (exclamation in diamond40) 和信息安全问题 (www.22dd940.com0)。

各类安全问题,按严重性降序布列

可从三种差别的概念评价这些成绩:

  • 安全问题

  • 弥补使命

  • 应用程序数据

留意,可按照严重性来布列这些倡议(升序或降序),而且有一个仪表板可用图表方法来暗示各个破绽。

  1. 单击 AppScan 桌面上的 Report 按钮天生一个片面的陈述。理解 AppScan 应用程序中供给的各类陈述模板。

上面所列的种别中供给了多个可自定义的陈述模板:

  • Security Report 供给了一个已发明成绩的列表

  • Industry Standard 陈述供给了有关应用程序兼容性和不兼容性的信息

  • Regulatory Compliance 陈述说清楚明了与各类法令尺度的合规状况(参阅 “留意” 内容)

  • Delta Analysis 陈述包罗了差别扫描之间发明的变动信息。该陈述关于渐进式扫描很有效,如许可提醒已修复的破绽、还没有修复的破绽以及在新扫描中初次发明的破绽。

  • Template-based 陈述,您可利用模板在该陈述中界说数据,并停止 Microsoft Word .doc 气势派头的文档格式化。

留意:
Regulatory Compliance。此中包罗了 40 个或更多的合规性陈述,包罗 PCI Data Security Standard、Payment Applications Data Security (PA-DSS)(新)、ISO 27001 和 ISO 27002(新)以及 Basel II。

图 6 展现的示例基于 (Custom Template) 陈述创立一个可自定义(陈述创建者指定陈述选项)的模板。

Create Report 页面,Report Type 选项卡视图

主要信息:
请参阅  部门,理解此扫描天生的汇总陈述:AppScanPlantsByWebSphere_Scanned_Summary_Security_Report.pdf。

 

Web 服务应用程序的主动安全测试和破绽测试

提醒:
探究开放式 Web 应用程序安全项目 (OWASP) 网站对您会很有协助,该网站供给了有关 Web 安全性的更多信息、高危破绽的列表和修复提醒等内容(请参阅  中的链接)。OWASP 网站还有一个页面专门引见差别种别的破绽,如身份验证、加密、日记记载和会话管理。

如今能够设置一次完好的、片面的 HelloWorld Web 服务应用程序扫描了。开端设置新的扫描配置文件来提醒此 Web 应用程序的安全漏洞之前,请确保 WebSphere Application Server v8.0.0.1 曾经运转,HelloWorld Web 服务应用程序已布置到运转时而且正在运转,如 图 2 中所示(HelloWorld_V1EAR 企业应用程序形态在 Application Status 列中显现一个绿色箭头)。

  1. 启动 IBM Security AppScan Standard Edition v8.5。

  2. 挑选 File > New> Predefined Templates > Comprehensive Scan。

在 General Tasks 下显现 Full Scan Configuration

  1. 启动 Scan ConfigurationWizard 并指定表 3 中所列的选项。拜见图 7。

表 3. 扫描设置选项,HelloWorld Web 服务应用程序
扫描选项指定的扫描设置选项
1Predefined templateComprehensive scan
2Type of scanWeb service scan
3Location of WSDL service
4Generic service clientTest only
  1. 如今指定 表 2 中所列的情况设置界说。

  2. 让 AppScan 施行片面的安全漏洞测试扫描。

图 8 显现了胜利完成扫描后的成果。完成扫描并肯定成绩后,AppScan 根据高、中、低大概信息严重性级别来分类这些成绩,并在 4 个选项卡中展现扫描成果。这些选项卡分别是 Issue Information、Advisory、Fix Recommendation 和 Request/Response。这些选项卡中包罗以下内容:有关所肯定成绩的详细信息、与所肯定成绩有关的 URL、所肯定成绩能够带来的风险、减缓成绩或破绽所带来的风险的倡议,以及原始的恳求/呼应交流信息。

Issue Information 选项卡成果

运转扫描时,一个进度面板会及时显现当前的扫描阶段,以及 URL 和已完成的百分比。能够启用多阶段扫描,如许可扫描主 URL 中包罗的多个 URL。此时,状态栏中显现了已会见的 URL 的形态、已扫描完成的数量等。您能够设置是主动运转这些扫描一次,仍是按期运转它。

接下来利用自定义陈述模板和 图 5 中显现的所选选项天生一个自定义陈述。

请参阅  部门,得到已天生的总结报告: AppScanHelloWorldWebService_Scanned_Summary_Security_Report.pdf

 

倡议的扫描理论

您能够自定义这些 AppScan 应用程序设置参数,以制止由于 AppScan 利用过量内存而招致的成绩,这类成绩能够招致所有数据丧失:

  • PerformanceMonitor.RestartOnOutOfMemory

  • PerformanceMonitor\minScanTimeDurationForRestart

  1. 单击 Tools > Options > Advanced 选项卡。

  2. 将 Preference Name 列中所列的这两个参数的值改为:

    1. PerformanceMonitor.RestartOnOutOfMemory=True

    2. PerformanceMonitor\minScanTimeDurationForRestart=30(分钟)

这些自定义参数可在内存利用量太高时或者因为虚拟内存不足招致扫描完毕时主动重新启动 AppScan。如需详细信息,请拜见  部门中的链接。

拜见 图 9 理解有关的详情。

奥门金沙总站6165com

结束语

您曾经胜利设置了 IBM Security AppScan Standard Edition v8.5 主动施行 PlantsByWebSphere Web 和 HelloWorld Web 服务应用程序安全漏洞测试。另外,还利用预设置的或自定义的陈述模板胜利天生了具体的破绽和修补办法陈述。拜见  部门中的链接,理解有关提高 WebSphere Application Server 运转时情况安全性的更多信息。

 部门包罗了一个安装指南、已天生的陈述、扫描导出文档、TechNote 和本文中利用的示例应用程序。

作者衷心感激 IBM Rational 软件部使用安全与合规性市场司理 Karl Snider 供给的协助。Karl 对本文停止了具体的手艺审校,供给了一些富有建设性、有看法的定见,协助作者提高了本文的质量和通用性。



0

推荐浏览

澳门金沙网址
www.22dd940.com
 |  关于天创 |  课程体系 |  最新动态 |  联络我们 |  网站舆图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
姑苏总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000