今天上午参加了IBM Rational网络应用安全研讨会,会议主要关注的是WEB应用系统的安全和对WEB应用安全测试的一款测试工具AppScan的介绍。51Testing软件测试网
gj@lW}2~
U%s
原来对安全测试方面的知识了解不多,所以这次研讨会了解了不少WEB安全方面的知识,对AppScan这款安全测试软件也有了初步的了解。现将学习到的内容整理如下:
+r6c w
s3_?R-xT0一,应用安全的相关知识
#{:n,|wqt9C-\01, 应用安全的现状:51Testing软件测试网(~ aG6N(P"jx,Itm
75%的网络攻击发生在应用层面,但公司在此方面的投资仅为安全花销的10%。51Testing软件测试网
f5VkHg0v
2,安全的基础架构
*D{a*n6J:Yu]8d*tH0桌面à防火墙àIDS/IPS(监控数据信息)àWEB应用
$n'Xwn8g
FW0 75%的攻击在WEB应用上, 25%的攻击在网络上。
R3FK'Q+\"A03,应用安全成熟模型
4z(i0U|2L!XM0 随着阶段从无知无谓à知晓阶段à补救阶段à运转阶段,成熟度在不断上升.
+V.^yZ7u A04,WEB应用测试成熟模型51Testing软件测试网^,P*cjQ
外包审计à内部审计à企业级可视化à企业级灵活性
O:BRy_-})Nk05,安全的主要组成:
%a$M1D}2nd`gPu0Ø 网络安全,51Testing软件测试网@V^Q?H-[9Nwc%G
Ø 数据库安全,51Testing软件测试网!WC
{ negS5go
Ø 应用层的安全
'ODOPb.i&eB06,OWASP(Open Web Application Security Project,开放式Web应用程序安全项目)所公布的部分关键Web应用安全漏洞:51Testing软件测试网)Xn;i7a8wxu)}
1) Cross Site scrīpting Flaws(XSS):恶意脚本掺杂在从信任站点返回的HTML页面中在受信任的环境中运行。51Testing软件测试网
X
w&HU"H
2) Injection Flaws:用户提供的数据做为命令查询或数据的一部分被发送到程序,主要有SQL注入,SSD注入,LDAP注入。
M
ZQ'nw%|
`Ni03) Malicions File Exection:哄骗应用程序执行命令或在服务器上创建文件
Lna8y J#l04) Insecure Direct Object Reference:部分或全部的资源被用户的输入所控制
/?+~]_`)w
Y05) Information Leakage and Inproper Error Handling:在错误处理或其他情况下暴露了不必要的信息。
QDZu1g"^#}CU06) Failure to Restrict URL Access:只对授权的用户才可用的信息能够通过暴力浏览的方式访问(例如:普通用户登录,暴力浏览管理员页面,意味着权限的提升,有横向和纵向的提升)51Testing软件测试网1L3]e7]R.z+X6Vc
7) 失效的访问控制(Broken Access Control)、
D$_Ql-_@R08) 缓存溢出问题(Buffer Overflows)51Testing软件测试网a K*}NY2s)Ac
二,AppScan的介绍
{k#d0?
L*d^01,简介:
*_(kFR/Ta9J4q0业界第一款并且是领先的web应用安全测试工具包,也是唯一一个在所有级别应用上提供全面纠正任务的工具。appscan扫描web应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。appscan的扫描能力,零时差补丁升级,配置向导和详细的报表系统都进行了整合,简化使用,增强用户效率,有利于安全防范和保护web应用基础架构。
O'F`X:g'[02,工作原理:
tnd@^/C(dr0 探测à分析à报告
;N2y*c6`sj0t0 Rational AppScan就像一个黑盒测试工具一样,不需要了解Web应用本身的结构。
7y[:UxVGe}0AppScan拥有庞大完整的攻击特征库,通过在http request中插入测试用例的方法实现几百中应用攻击,再通过分析http response判断该应用是否存在相应的漏洞。同时AppScan可以详细指出该漏洞的原理以及解决该漏洞的方法。对于攻击的特征以及测试用例用户不需要花费大量的精力,WatchFire团队定期的对特征库进行更新,随着保证与业界的同步,最大化的提高用户的工作效率。51Testing软件测试网F7x_8i[ ^5n}_
具体流程:定点扫描——扫描启动,进行测试——扫描结果查看
y"fO+zkd0在结果报告中,AppScan以各种维度展现了扫描后的结果,不仅仅定位了问题发生的位置,也提出了问题的解决方案。
n`5lQ6^
p0 同时,AppScan提供了完善的报表功能,可以支持用户对扫描的结果进行各种分析,包括对行业或者法规的支持程度;同时,AppScan也提供了一系列的小工具,例如:Authentication Tester通过暴力检测方法扫描被测网站的用户名称和密码;HTTP Request Editor提供了编辑Http request的功能,等等
DTeif
K*?H7M_051Testing软件测试网+~n1m9c"jS.X8|J 3,同类的开源软件X-Scan51Testing软件测试网0m*K4gx
E
51Testing软件测试网"aA%i4@/Y bg 总结日期:2008-5-1551Testing软件测试网8}]3YDvb)m*V!r"e