51Testing软件测试论坛

标题: {有奖问答}使用 Rational AppScan 如何保证 Web 应用的安全性? [打印本页]

作者: fishy    时间: 2008-2-26 11:31
标题: {有奖问答}使用 Rational AppScan 如何保证 Web 应用的安全性?
{有奖问答}使用 Rational AppScan 如何保证 Web 应用的安全性?
作者: ivaniccy    时间: 2008-2-26 15:03
通过:
1. 开发过程中的安全保障
2.质量管理过程中的安全保障
3.在集成和发布阶段中的安全保障
4.对诊断结果进行全面的分析和报告
来保证web应用的安全性
作者: juliett    时间: 2008-3-10 11:52
标题: 回复:使用 Rational AppScan 如何保证 Web 应用的安全性?
1、依据AppScan 庞大完整的攻击特征库,通过在 http request 中插入测试用例的方法实现几百中应用攻击,定义一个扫描,还可以进行一系列高级配置,制定所要检测的 Web 模型,即哪些需要扫描、哪些不需
要、扫描的方式等等,也可以定义需要扫描漏洞的列表;

2、支持的扫描配置有:
Starting URL:起始 URL,制定被测应用的起始地址
Custom Error Pages:制定错误网页提高测试效率
Session IDs:管理测试过程中的 session
Automatic Server Detection:自动检测应用所在的应用服务器、web server、操作系统
Exclusion and Inclusion:制定哪些 Web 被扫描或者被排除,哪些文件类型不被扫描
Scan Limits:其他高级扫描限制,例如扫描次数限制等
Advanced:扫描的方式,是宽度扫描还是深度扫描
Communication Settings:对扫描中的延时、线程数量进行配置
Proxy Settings:代理设置vLogin/logout:对被测应用的登陆进行设置,可以采用录制回放的方式、也可以使用自动登陆的方式
configure a Test Policy: 配置测试测量,即想测试哪些漏洞。
……

3、AppScan 提供了完善的报表功能,可以支持用户对扫描的结果进行各种分析,包括对行业或者法规的支持程度;同时,AppScan 也提供了一系列的小工具,例如:Authentication Tester 通过暴力检测方法扫描被测网站的用户名称和密码;HTTP Request Editor 提供了编辑 Http request 的功能,等等。

4、在检测出安全漏洞之后,AppScan 又提供了全面的解决方案帮助客户快速解决这些问题,最大化的保证 Web 应用的安全。

5、WatchFire 团队定期的对特征库进行更新。

6、在整个软件开发生命周期中的各个阶段,Rational AppScan 都可以被使用,全面的保障了软件的安全性
  6.1 开发人员使用 AppScan
开发人员在开发过程中可以使用 AppScan 或者专用插件,随时开发随时测试,最大化的保证个人开发程序的安全性。越早发现问题,解决问题的成本就越低,这为 Web 应用的安全提供了最为坚实的基础保障。
  6.2测试人员使用 AppScan
系统测试人员使用 AppScan 对应用做全面的测试,一旦发现问题,可以快速的生成 defect,通过与 ClearQuest 的集成可以实现 defect 电子化跟踪,再传递到开发人员手中,指导开发人员迅速解决问题。极大的提高了开发团队的开发效率,也提供了完整了沟通平台解决方案。
  6.3 审核人员上线前使用 AppScan
这是系统上线前的安全质量关卡。任何系统上线都应该经过严格的上线测试,这也最大化的减少了上线后问题的出现,避免生产系统上线后给企业带来的巨额损失。
  6.4 上线后审计、监控人员使用 AppScan
上线的系统应该定期检测,一旦出现问题更应该及时检测,越快速的定位发现问题,损失就会越小。
作者: cjh0901    时间: 2008-3-11 17:53
1、AppScan DE (AppScan 开发版)可以作为多种平台的插件,这些平台包括 Eclipse 、 WebSphere 、 Visual Studio 、 JBuilder ,协助开发人员对编写的模块进行自我安全诊断。
2、在集成和发布阶段,可以通过简单的配置,使用 AppScan 对应用进行全面的扫描,企业仅需要指明Web应用的入口链接, AppScan 就会利用网络爬行(Crawling)技术,遍历应用中所有需要测试的链接,并对每个链接发送多种测试参数,诊断其有无漏洞可被利用。最后将结果呈现在用户面前。
3、Rational AppScan 不仅可以对Web应用进行自动化的扫描、指出安全漏洞的修复意见,还可以将诊断结果,使用不同的行业标准、法规,形成针对性的报告,让相关人员对应用安全状况和法规遵从等有了全面的认识。
作者: happygod    时间: 2008-3-17 19:32
1) 开发过程中的安全保障
AppScan DE(AppScan 开发版)可以作为多种平台的插件,这些平台包括 Eclipse、WebSphere、Visual Studio、JBuilder,协助开发人员对编写的模块进行自我安全诊断。图 7 是 AppScan DE 作为 Visual Studio 插件使用的示例。
2) 质量管理过程中的安全保障
通过和 Rational ClearQuest 的集成,AppScan 可以将发现的安全隐患方便的导入到变更管理平台中,确保发现的每一个问题,都被记录,并详细跟踪其在整个修复过程中的状态变化。
3) 在集成和发布阶段中的安全保障
在集成和发布阶段,可以通过简单的配置,使用 AppScan 对应用进行全面的扫描,企业仅需要指明 Web 应用的入口链接,AppScan 就会利用网络爬行(Crawling)技术,遍历应用中所有需要测试的链接,并对每个链接发送多种测试参数,诊断其有无漏洞可被利用。最后将结果呈现在用户面前。
4) 对诊断结果进行全面的分析和报告
Rational AppScan 不仅可以对 Web 应用进行自动化的扫描、指出安全漏洞的修复意见,还可以将诊断结果,使用不同的行业标准、法规,形成针对性的报告,让相关人员对应用安全状况和法规遵从等有了全面的认识。




欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2