使用appscan进行安全性检测总结

使用appscan进行安全性检测总结

ID:10002048

大小:548.00 KB

页数:25页

时间:2018-05-20

使用appscan进行安全性检测总结_第1页
使用appscan进行安全性检测总结_第2页
使用appscan进行安全性检测总结_第3页
使用appscan进行安全性检测总结_第4页
使用appscan进行安全性检测总结_第5页
资源描述:

《使用appscan进行安全性检测总结》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、中国测试员网站www.cntester.com使用Appscan保障Web应用安全性编写:梁建增http://www.cntester.com中国测试员网站www.cntester.comAppscan简介IBMRationalAppScanStandardEdition是一种自动化Web应用程序安全性测试引擎,能够连续、自动地审查Web应用程序、测试安全性问题,并生成包含修订建议的行动报告,简化补救过程。IBMRationalAppScanStandardEdition提供:Ø核心漏洞支持:包含W

2、ASC隐患分类中已识别的漏洞——如SQL注入、跨站点脚本攻击和缓冲区溢出。Ø广泛的应用程序覆盖:包含集成Web服务扫描和JavaScript执行(包括Ajax)与解析。Ø自定义和可扩展功能:AppScaneXtensionFramework运行用户社区共享和构建开源插件。Ø高级补救建议:展示全面的任务清单,用于修订扫描过程中揭示的问题。Ø面向渗透测试人员的自动化功能:高级测试实用工具和Pyscan框架作为手动测试的补充,提供更强大的力量和更高的效率。法规遵从性报告:40种开箱即用的遵从性报告,包括P

3、CIDataSecurityStandard、ISO17799和ISO27001以及BaselII。中国测试员网站www.cntester.com信息系统安全性概述在进行软件安全性检测之前,首先我们应该具备一定的信息系统安全性的知识,在我们对整体范围的信息系统安全性保障有一定认识的前提下,才能决定我们能更好的保障该环境下的软件应用安全性。计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。从而我们可以得

4、知计算机信息系统的安全性是一个相当复杂且广的课题,通常情况下,计算机信息系统都是以应用性为主题,以实现不同用户群的相应需求实现。而应用性的实现通常是采用应用软件而达成。典型的计算机信息系统,包括了机房环境,主机设备,网络交换设备,传输通信媒介,软件系统以及其他相关硬软件,而由于当前信息系统网络的连通性,给安全性问题带来了更大的挑战。在当今的时代,Internet(因特网)已经成为一个非常重要的基础平台,很多企业都将应用架设在该平台上,为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上,都在不

5、断的完善和提高,然而在非常重要的安全性上,却没有得到足够的重视。由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击。然而现实确是,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证Web应用本身的安全,给黑客以可乘之机。中国测试员网站www.cntester.comWeb安全性测试要点1.1

6、.Web应用安全测试的重要性由于我们将讲述的重点是AppScan,所以下面我们将主要对WEB应用的安全性在整个信息系统体系中的特点进行介绍。通常,我们为客户提供的一系列解决方案中,WEB应用是属于自我研发的,该层次的安全性常常处于一种不被认知的状态中。并且由于应用系统的特殊性与针对性,商业化的安全保护产品很难考虑到这些特有的应用功能。所以,我们为客户实现的整个解决方案的信息系统环境中,无论客户采用了多么强大的防火墙,以及多么昂贵的IDS(入侵诊断系统)/IPS(入侵防御系统)等,但都无法防止对看似合

7、法渠道的应用漏洞攻击,因为无论封闭的再怎么严实的信息系统都需要开发一些服务的端口以便能为合法用户提供服务,而攻击者就会通过从这些合法的入口中,寻找隐藏的应用系统漏洞,而通过应用系统漏洞的入侵,是其他安全保障软件以及硬件所难以察觉的,而这类窃取和破坏往往又是难以察觉和致命的。为什么说一般的安全工具往往很难捕捉应用层次的安全问题呢?Ø网络脆弱性扫描工具,由于它仅仅用来分析网络层面的漏洞,不了解应用本身,所以不能彻底提高Web应用安全性;Ø防火墙可以阻止对重要端口的访问,但是提供服务的端口始终要开放,我们

8、无法判断这些服务端口中通讯数据是善意的访问还是恶意的攻击;ØSSL可以加密数据,但是它仅仅保护了在传输过程中数据的安全性,并没有保护Web应用本身;Ø阶段性的渗透测试,无法满足处于不断变更之中的应用。中国测试员网站www.cntester.com1.1.Web应用安全威胁WebApplicationSecurityConsortium(WASC),是一个由安全专家、行业顾问和诸多组织的代表组成的国际团体。他们负责为WWW制定被广为接受的应用安全标准。WASC组织的关键

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。