今天上午参加了IBM Rational网络应用安全研讨会,会议主要关注的是WEB应用系统的安全和对WEB应用安全测试的一款测试工具AppScan的介绍。51Testing软件测试网
g�j�@�l�W�}2~
U%s
原来对安全测试方面的知识了解不多,所以这次研讨会了解了不少WEB安全方面的知识,对AppScan这款安全测试软件也有了初步的了解。现将学习到的内容整理如下:
+r6c w
s3_�?�R-x�T0一,应用安全的相关知识
#{:n,|�w�q�t9C-\01, 应用安全的现状:51Testing软件测试网(~ a�G6N(P"j�x,I�t�m
75%的网络攻击发生在应用层面,但公司在此方面的投资仅为安全花销的10%。51Testing软件测试网
f5V�k�H�g0v
2,安全的基础架构
*D�{�a*n6J:Y�u�]8d*t�H0桌面à防火墙àIDS/IPS(监控数据信息)àWEB应用
$n'X�w�n8g
F�W0 75%的攻击在WEB应用上, 25%的攻击在网络上。
�R3F�K'Q+\"A03,应用安全成熟模型
4z(i0U�|2L!X�M0 随着阶段从无知无谓à知晓阶段à补救阶段à运转阶段,成熟度在不断上升.
+V.^�y�Z7u�A04,WEB应用测试成熟模型51Testing软件测试网�^,P*c�j�Q
外包审计à内部审计à企业级可视化à企业级灵活性
O:B�R�y�_-})N�k05,安全的主要组成:
%a$M1D�}2n�d�`�g�P�u0Ø 网络安全,51Testing软件测试网�@�V�^�Q�?�H-[9N�w�c%G
Ø 数据库安全,51Testing软件测试网!W�C
{ n�e�g�S5g�o
Ø 应用层的安全
'O�D�O�P�b.i&e�B06,OWASP(Open Web Application Security Project,开放式Web应用程序安全项目)所公布的部分关键Web应用安全漏洞:51Testing软件测试网)X�n;i7a8w�x�u)}
1) Cross Site scrīpting Flaws(XSS):恶意脚本掺杂在从信任站点返回的HTML页面中在受信任的环境中运行。51Testing软件测试网
X
w&H�U"H
2) Injection Flaws:用户提供的数据做为命令查询或数据的一部分被发送到程序,主要有SQL注入,SSD注入,LDAP注入。
M
Z�Q'n�w%|
`�N�i03) Malicions File Exection:哄骗应用程序执行命令或在服务器上创建文件
�L�n�a8y J#l04) Insecure Direct Object Reference:部分或全部的资源被用户的输入所控制
/?+~�]�_�`)w
Y05) Information Leakage and Inproper Error Handling:在错误处理或其他情况下暴露了不必要的信息。
�Q�D�Z�u1g"^#}�C�U06) Failure to Restrict URL Access:只对授权的用户才可用的信息能够通过暴力浏览的方式访问(例如:普通用户登录,暴力浏览管理员页面,意味着权限的提升,有横向和纵向的提升)51Testing软件测试网1L3]�e7]�R.z+X6V�c
7) 失效的访问控制(Broken Access Control)、
�D$_�Q�l-_�@�R08) 缓存溢出问题(Buffer Overflows)51Testing软件测试网�a K*}�N�Y2s)A�c
二,AppScan的介绍
�{�k#d0?
L*d�^01,简介:
*_(k�F�R/T�a9J4q0业界第一款并且是领先的web应用安全测试工具包,也是唯一一个在所有级别应用上提供全面纠正任务的工具。appscan扫描web应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。appscan的扫描能力,零时差补丁升级,配置向导和详细的报表系统都进行了整合,简化使用,增强用户效率,有利于安全防范和保护web应用基础架构。
O'F�`�X:g'[02,工作原理:
�t�n�d�@�^/C(d�r0 探测à分析à报告
;N2y*c6`�s�j0t0 Rational AppScan就像一个黑盒测试工具一样,不需要了解Web应用本身的结构。
7y�[:U�x�V�G�e�}0AppScan拥有庞大完整的攻击特征库,通过在http request中插入测试用例的方法实现几百中应用攻击,再通过分析http response判断该应用是否存在相应的漏洞。同时AppScan可以详细指出该漏洞的原理以及解决该漏洞的方法。对于攻击的特征以及测试用例用户不需要花费大量的精力,WatchFire团队定期的对特征库进行更新,随着保证与业界的同步,最大化的提高用户的工作效率。51Testing软件测试网�F7x�_8i�[ ^5n�}�_
具体流程:定点扫描——扫描启动,进行测试——扫描结果查看
�y"f�O+z�k�d0在结果报告中,AppScan以各种维度展现了扫描后的结果,不仅仅定位了问题发生的位置,也提出了问题的解决方案。
�n�`5l�Q6^
p0 同时,AppScan提供了完善的报表功能,可以支持用户对扫描的结果进行各种分析,包括对行业或者法规的支持程度;同时,AppScan也提供了一系列的小工具,例如:Authentication Tester通过暴力检测方法扫描被测网站的用户名称和密码;HTTP Request Editor提供了编辑Http request的功能,等等
�D�T�e�i�f
K*?�H7M�_051Testing软件测试网+~�n1m9c"j�S.X8|�J 3,同类的开源软件X-Scan51Testing软件测试网0m*K4g�x
E
51Testing软件测试网"a�A%i4@/Y b�g 总结日期:2008-5-1551Testing软件测试网8}�]3Y�D�v�b)m*V!r"e
