今天上午参加了IBM Rational网络应用安全研讨会,会议主要关注的是WEB应用系统的安全和对WEB应用安全测试的一款测试工具AppScan的介绍。51Testing软件测试网:@f
z*S(z/R#a,n7n
原来对安全测试方面的知识了解不多,所以这次研讨会了解了不少WEB安全方面的知识,对AppScan这款安全测试软件也有了初步的了解。现将学习到的内容整理如下:51Testing软件测试网v"XKT$^)Y;gk
ld
一,应用安全的相关知识
wX"sD1T8aun01, 应用安全的现状:51Testing软件测试网*a]NR[n3i,b
G
75%的网络攻击发生在应用层面,但公司在此方面的投资仅为安全花销的10%。
B*gNaN"ZYq02,安全的基础架构51Testing软件测试网b!Q&JE4HIi
桌面à防火墙àIDS/IPS(监控数据信息)àWEB应用
ix M:{B3` Mk0 75%的攻击在WEB应用上, 25%的攻击在网络上。51Testing软件测试网9O7Q8gk
US$c9I
3,应用安全成熟模型
7G@2@jo1W0 随着阶段从无知无谓à知晓阶段à补救阶段à运转阶段,成熟度在不断上升.
a bL
irO8Ev8S04,WEB应用测试成熟模型
x,w9A.cm3e8m0 外包审计à内部审计à企业级可视化à企业级灵活性51Testing软件测试网gQ{H&Y!Iw
5,安全的主要组成:51Testing软件测试网`
{'mIxwMq;A)d
Ø 网络安全,51Testing软件测试网
u,Nw6[(A,y3h*IK
Ø 数据库安全,51Testing软件测试网1U _VX6~
FZ ^bZ`-Gv
Ø 应用层的安全51Testing软件测试网FCCGX d9A
6,OWASP(Open Web Application Security Project,开放式Web应用程序安全项目)所公布的部分关键Web应用安全漏洞:51Testing软件测试网EG(foz1K
1) Cross Site scrīpting Flaws(XSS):恶意脚本掺杂在从信任站点返回的HTML页面中在受信任的环境中运行。
1H9eJ9f*L)}:Wt02) Injection Flaws:用户提供的数据做为命令查询或数据的一部分被发送到程序,主要有SQL注入,SSD注入,LDAP注入。
1Mck Kh m0I-e03) Malicions File Exection:哄骗应用程序执行命令或在服务器上创建文件51Testing软件测试网~(xHMUN2\.YJr0f
4) Insecure Direct Object Reference:部分或全部的资源被用户的输入所控制
2MU0QT/t~ti3c05) Information Leakage and Inproper Error Handling:在错误处理或其他情况下暴露了不必要的信息。
.~\u$z^v06) Failure to Restrict URL Access:只对授权的用户才可用的信息能够通过暴力浏览的方式访问(例如:普通用户登录,暴力浏览管理员页面,意味着权限的提升,有横向和纵向的提升)51Testing软件测试网R:P/t5iD?
7) 失效的访问控制(Broken Access Control)、
O'cMt&I08) 缓存溢出问题(Buffer Overflows)
c0V1VCH2m1_0二,AppScan的介绍
X wM"TZ+kl+j01,简介:51Testing软件测试网&R0a[3@tD0k
业界第一款并且是领先的web应用安全测试工具包,也是唯一一个在所有级别应用上提供全面纠正任务的工具。appscan扫描web应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。appscan的扫描能力,零时差补丁升级,配置向导和详细的报表系统都进行了整合,简化使用,增强用户效率,有利于安全防范和保护web应用基础架构。51Testing软件测试网&??:T@ F7Fn^
2,工作原理:51Testing软件测试网EzD\O^$jI
探测à分析à报告
K1E[ ]%`0 Rational AppScan就像一个黑盒测试工具一样,不需要了解Web应用本身的结构。51Testing软件测试网~ sW5rZgvz"H
AppScan拥有庞大完整的攻击特征库,通过在http request中插入测试用例的方法实现几百中应用攻击,再通过分析http response判断该应用是否存在相应的漏洞。同时AppScan可以详细指出该漏洞的原理以及解决该漏洞的方法。对于攻击的特征以及测试用例用户不需要花费大量的精力,WatchFire团队定期的对特征库进行更新,随着保证与业界的同步,最大化的提高用户的工作效率。51Testing软件测试网'd9T%L*lZ
具体流程:定点扫描——扫描启动,进行测试——扫描结果查看
p)WF Q^#}
v P'Q0在结果报告中,AppScan以各种维度展现了扫描后的结果,不仅仅定位了问题发生的位置,也提出了问题的解决方案。51Testing软件测试网V
H
r"e's)Iz&D*t
同时,AppScan提供了完善的报表功能,可以支持用户对扫描的结果进行各种分析,包括对行业或者法规的支持程度;同时,AppScan也提供了一系列的小工具,例如:Authentication Tester通过暴力检测方法扫描被测网站的用户名称和密码;HTTP Request Editor提供了编辑Http request的功能,等等51Testing软件测试网Xac9tC6w7U_0x[
,~zP$Pqe_&X;P|r0 3,同类的开源软件X-Scan
Z7_"gpj`4^#Nm0){
SD?Q J(R@0 总结日期:2008-5-15
"TS_\0| qw.q0