使用 Rational AppScan 应对Web应用攻击

 

3 通过 Rational AppScan 如何应对网站攻击

IBM Rational在您身边

产品方案售前咨询 联系IBM售前代表 即刻致电： 800－810－1199－3457 0755－84485000－3457 进一步购买意向 请致电: 800－810－1199－3457 0755－84485000－3457 或 发邮件至:jiangwj@cn.ibm.com

 

IBM Rational AppScan 正是应对这一挑战的利器。

 

如下图所示， Rational AppScan 工作方式比较简单，就像一个黑盒测试工具一样，测试人员不需要了解Web应用本身的结构。 AppScan 拥有庞大完整的攻击特征库，通过在 http request 中插入测试用例的方法实现几百中应用攻击，再通过分析 http response 判断该应用是否存在相应的漏洞。整个过程简单易懂高效，测试人员可以快速的定位漏洞所在的位置，同时 AppScan 可以详细指出该漏洞的原理以及解决该漏洞的方法，帮助开发人员迅速修复程序安全隐患。对于攻击的特征以及测试用例用户不需要花费大量的精力， WatchFire 团队定期的对特征库进行更新，随着保证与业界的同步，最大化的提高用户的工作效率。

 

图 4. Rational AppScan 工作示意图

 

下面我们通过简单的实例介绍一下 Rational AppScan 的使用：

• 定义扫描

首先确定扫描站点的 URL ，根据默认的模板配置向导，确定扫描的整个站点模型以及你想扫描的漏洞种类。例如，我想扫描企业应用 www.xxx.com ，想根据默认值扫描是否有安全隐患，启动 AppScan ，创建一个扫描，敲入 www.xxx.com; 根据配置向导直至完成。

 

图 5. 默认的模板配置向导

图 6. 创建一个扫描

• 扫描启动，进行测试

只需要点击执行。

• 扫描结果查看

如图所示， AppScan 以各种维度展现了扫描后的结果，不仅仅定位了问题发生的位置，也提出了问题的解决方案。

 

图 7. 扫描后的结果

 

4 Rational AppScan 深入介绍

Rational AppScan 同时提供了很多高级功能，帮助客户对复杂应用进行检测。支持的扫描配置有：

• Starting URL ：起始 URL ，制定被测应用的起始地址
• Custom Error Pages ：制定错误网页提高测试效率
• Session IDs ：管理测试过程中的 session
• Automatic Server Detection ：自动检测应用所在的应用服务器、Webserver 、操作系统
• Exclusion and Inclusion ：制定哪些Web被扫描或者被排除，哪些文件类型不被扫描
• Scan Limits ：其他高级扫描限制，例如扫描次数限制等
• Advanced ：扫描的方式，是宽度扫描还是深度扫描
• Communication Settings ：对扫描中的延时、线程数量进行配置
• Proxy Settings ：代理设置 vLogin/logout ：对被测应用的登陆进行设置，可以采用录制回放的方式、也可以使用自动登陆的方式
• configure a Test Policy: 配置测试测量，即想测试哪些漏洞。
• ……

如上所述，用户可以通过 AppScan 进行一系列高级配置，制定所要检测的Web模型，即哪些需要扫描、哪些不需要、扫描的方式等等；也可以定义需要扫描漏洞的列表，从而保证了用户关心的网站模型有无用户所关心的安全漏洞。在检测出安全漏洞之后， AppScan 又提供了全面的解决方案帮助客户快速解决这些问题，最大化的保证Web应用的安全。另外，对于Web服务 AppScan 同样可以支持。

AppScan 提供了完善的报表功能，可以支持用户对扫描的结果进行各种分析，包括对行业或者法规的支持程度；同时， AppScan 也提供了一系列的小工具，例如： Authentication Tester 通过暴力检测方法扫描被测网站的用户名称和密码； HTTP Request Editor 提供了编辑 Http request 的功能，等等。

 

原文地址：http://www.ibm.com/vrm/newsletter_10104_2516_57211_email_DYN_1IN/xchen94266440

 

上一页 1 2 3 4 下一页