51Testing软件测试论坛

标题: 通过AppScan工具加固Web应用程序的安全 [打印本页]

作者: ruanyongjie 时间: 2008-9-3 00:00
标题: 通过AppScan工具加固Web应用程序的安全
AppScan专利扫描引擎

　　Watchfire AppScan是一种有效的企业级Web应用安全测试组件，它可以对所有常见的Web应用漏洞进行扫描和测试，包括那些WASC所分类定义的Web应用威胁,例如SQL注入、跨网站脚本攻击以及缓存溢出等攻击。

　　AppScan为最新的Web2.0技术、Flash技术和先进的JavaScript技术提供了完善的漏洞扫描功能，并能提供全面的AJAX支持。

　　AppScan的专利扫描引擎可以进行Web应用安全审计，并能够从测试安全和标准遵从等多个角度为开发人员提供可操作的修复建议及修复任务报告。它可以与软件产品质量检测平台、开发环境（Jbuilder、Visual Studio和Fortify）的代码扫描工具无缝集成，使得安全测试和修复贯穿整个软件开发流程。

　　AppScan的设计为安全审计和渗透测试人员提供了一种直观且易于操作的工具。革命性的功能如测试策略管理器、实时扫描日志、扫描权限集中管理、用户自定义测试和定时扫描等为用户提供了更高的透明度和客户化定制能力，使用户能针对其应用所需要扫描的部份进行准确的扫描。

　　Web应用安全扫描

　　Watchfire的AppScan称得上是当前业界最快和最完备的专利扫描引擎之一，它支持扫描JavaScript、Flash等复杂的Web应用技术，而这些技术往往导致传统扫描工具漏报及出现错误。用户可以通过任务状态监控来检测自己是否依然在登录状态，并且在需要的时候以用户身份自动登录。

　　Watchfire采用复杂的身份认证来配合Web应用的多步认证流程。如果AppScan检测到Web应用需要复杂的身份认证,就会暂停扫描并给用户以相应的提示。现阶段，Watchfire支持的身份认证方式包括CAPTCHA认证、逐步认证、多因子认证、一次性口令认证、USB令牌认证、智能卡和相互认证等多种方式。

　　Watchfire具有广泛的Web应用服务功能，利用AJAX可以有效地加强JavaScript代码的执行能力。JavaScript的执行功能也能够检测到更多的链接，甚至包括在AJAX应用中XML HTTP请求生成的链接。而特征搜索规则功能能够实现在原响应中字符串和正则表达式的搜索。例如，该功能可以对信用卡或社会安全号进行安全测试。

　　Watchfire的实时查看结果功能允许用户在扫描完成之前，查看扫描出来的漏洞并采取相应措施，该功能对大规模的扫描以及审计员和渗透测试人员在有限时间内完成应用测试非常有用。此外，Watchfire提供的增强型问题查看功能提供了对问题显示的强大控制手段，用户可以方便地改变字体的大小，也可以在“Word Wrap”模式和正常模式之间灵活地选择。

　　报告和修复建议

　　AppScan增量分析报告可以为用户提供从本次扫描到下次扫描发生的变化。该报告包括从上次扫描至今已修复和未修复的漏洞列表及安全问题。在测试时，AppScan会把确认导致漏洞的HTML代码高亮显示。漏洞的原因会用自然语言方式提供给用户，并详细解释相应的测试逻辑和出现问题的原因。

　　Watchfire还能够提供可定制的报告，为管理层、开发人员、系统管理员和安全专家提供定制的内容和形式。所生成的报告均为业界标准报告，包括OWASP、SANS和WASC标准。同时，Watchfire遵从业界最广泛的标准报告方案，可以生成34种常规遵从模板和报告。其报告能够显示整个应用或指定目录所需的修复任务，便于把需要修复的相关信息分发给应用开发人员和系统管理员。

作者: fanxianyun123 时间: 2008-9-18 11:33
标题: Watchfire Web Appscan
你知道哪有教程吗？

作者: bzcyer 时间: 2008-9-18 21:07
不用教程的。。。
装好AppScan，然后对着测试程序扫描一次，然后盯着测试结果看几天就OK了。。。
从AppScan里找到很多非常有趣的代码，现在扫描一遍，再手工查一遍，能发现很多问题了。。。

作者: bzcyer 时间: 2008-9-18 21:08
Appscan的教程斑竹应该发过。。。很长的一篇word文档。。。没细看。。。

作者: lvxdoo 时间: 2008-9-26 11:20
AppScan工具没听过啊

作者: 男孩子 时间: 2008-10-6 13:19
与WebInspect相比，感觉AppScan还处于入门级别。

作者: xuzq 时间: 2008-10-14 17:08
Appscan容易上手，傻瓜型的，webinspect感觉操作复杂

作者: yangruixin.07 时间: 2010-1-25 15:33
标题: ii
<script>alert('hello1234')</script>

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)