今天上午参加了IBM Rational网络应用安全研讨会,会议主要关注的是WEB应用系统的安全和对WEB应用安全测试的一款测试工具AppScan的介绍。51Testing软件测试网:@�f
z*S(z/R#a,n7n
原来对安全测试方面的知识了解不多,所以这次研讨会了解了不少WEB安全方面的知识,对AppScan这款安全测试软件也有了初步的了解。现将学习到的内容整理如下:51Testing软件测试网�v"X�K�T$^)Y;g�k
l�d
一,应用安全的相关知识
�w�X"s�D1T8a�u�n01, 应用安全的现状:51Testing软件测试网*a�]�N�R�[�n3i,b
G
75%的网络攻击发生在应用层面,但公司在此方面的投资仅为安全花销的10%。
�B*g�N�a�N"Z�Y�q02,安全的基础架构51Testing软件测试网�b!Q&J�E4H�I�i
桌面à防火墙àIDS/IPS(监控数据信息)àWEB应用
�i�x M:{�B3`�M�k0 75%的攻击在WEB应用上, 25%的攻击在网络上。51Testing软件测试网9O7Q8g�k
U�S$c9I
3,应用安全成熟模型
7G�@2@�j�o1W0 随着阶段从无知无谓à知晓阶段à补救阶段à运转阶段,成熟度在不断上升.
�a b�L
i�r�O8E�v8S04,WEB应用测试成熟模型
�x,w9A.c�m3e8m0 外包审计à内部审计à企业级可视化à企业级灵活性51Testing软件测试网�g�Q�{�H&Y!I�w
5,安全的主要组成:51Testing软件测试网�`
{'m�I�x�w�M�q;A)d
Ø 网络安全,51Testing软件测试网
u,N�w6[(A,y3h*I�K
Ø 数据库安全,51Testing软件测试网1U _�V�X6~
F�Z ^�b�Z�`-G�v
Ø 应用层的安全51Testing软件测试网�F�C�C�G�X�d9A
6,OWASP(Open Web Application Security Project,开放式Web应用程序安全项目)所公布的部分关键Web应用安全漏洞:51Testing软件测试网�E�G(f�o�z1K
1) Cross Site scrīpting Flaws(XSS):恶意脚本掺杂在从信任站点返回的HTML页面中在受信任的环境中运行。
1H9e�J9f*L)}:W�t02) Injection Flaws:用户提供的数据做为命令查询或数据的一部分被发送到程序,主要有SQL注入,SSD注入,LDAP注入。
1M�c�k K�h�m0I-e03) Malicions File Exection:哄骗应用程序执行命令或在服务器上创建文件51Testing软件测试网�~(x�H�M�U�N2\.Y�J�r0f
4) Insecure Direct Object Reference:部分或全部的资源被用户的输入所控制
2M�U0Q�T/t�~�t�i3c05) Information Leakage and Inproper Error Handling:在错误处理或其他情况下暴露了不必要的信息。
.~�\�u$z�^�v06) Failure to Restrict URL Access:只对授权的用户才可用的信息能够通过暴力浏览的方式访问(例如:普通用户登录,暴力浏览管理员页面,意味着权限的提升,有横向和纵向的提升)51Testing软件测试网�R:P/t5i�D�?
7) 失效的访问控制(Broken Access Control)、
�O'c�M�t&I08) 缓存溢出问题(Buffer Overflows)
�c0V1V�C�H2m1_0二,AppScan的介绍
�X w�M"T�Z+k�l+j01,简介:51Testing软件测试网&R0a�[3@�t�D0k
业界第一款并且是领先的web应用安全测试工具包,也是唯一一个在所有级别应用上提供全面纠正任务的工具。appscan扫描web应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。appscan的扫描能力,零时差补丁升级,配置向导和详细的报表系统都进行了整合,简化使用,增强用户效率,有利于安全防范和保护web应用基础架构。51Testing软件测试网&?�?:T�@�F7F�n�^
2,工作原理:51Testing软件测试网�E�z�D�\�O�^$j�I
探测à分析à报告
�K1E�[ ]%`0 Rational AppScan就像一个黑盒测试工具一样,不需要了解Web应用本身的结构。51Testing软件测试网�~ s�W5r�Z�g�v�z"H
AppScan拥有庞大完整的攻击特征库,通过在http request中插入测试用例的方法实现几百中应用攻击,再通过分析http response判断该应用是否存在相应的漏洞。同时AppScan可以详细指出该漏洞的原理以及解决该漏洞的方法。对于攻击的特征以及测试用例用户不需要花费大量的精力,WatchFire团队定期的对特征库进行更新,随着保证与业界的同步,最大化的提高用户的工作效率。51Testing软件测试网'd9T%L*l�Z
具体流程:定点扫描——扫描启动,进行测试——扫描结果查看
�p)W�F�Q�^#}
v P'Q0在结果报告中,AppScan以各种维度展现了扫描后的结果,不仅仅定位了问题发生的位置,也提出了问题的解决方案。51Testing软件测试网�V
H
r"e's)I�z&D*t
同时,AppScan提供了完善的报表功能,可以支持用户对扫描的结果进行各种分析,包括对行业或者法规的支持程度;同时,AppScan也提供了一系列的小工具,例如:Authentication Tester通过暴力检测方法扫描被测网站的用户名称和密码;HTTP Request Editor提供了编辑Http request的功能,等等51Testing软件测试网�X�a�c9t�C6w7U�_0x�[
,~�z�P$P�q�e�_&X;P�|�r0 3,同类的开源软件X-Scan
Z7_"g�p�j�`4^#N�m0){
S�D�?�Q�J(R�@0 总结日期:2008-5-15
"T�S�_�\0|�q�w.q0
