zt IBM Rational AppScan 7.8.0.2
IBM Rational AppScan 7.8.0.2软件类型:商业工具 授权方式:商业 界面语言:英文软件 软件大小:230.36 MB 文件类型:.exe 运行环境:Win2003,WinXP,Win2000,Win9X 软件等级:★★★☆☆ 发布时间:2011-06-14 官方网址:http:// 演示网址:http:// 下载次数:0
资源介绍 IBM Rational AppScan 能够在开发的各个阶段扫描和测试 Web 应用漏洞,可由各种测试人员使用,无论测试人员是否具有安全知识。
Rational AppScan 产品提供:
静态分析安全性测试,以从源头上找出安全漏洞
面向所有常见 Web 应用漏洞(包括 WASC 威胁类别,如 SQL 注入、跨站点脚本和缓冲区溢出)的自动化 Web 应用扫描和测试,以及简化补救工作的智能化修订建议
网站嵌入式恶意软件的检测
广泛的应用覆盖率,包括整合的 Web 服务扫描、JavaScript 执行(包括 Ajax)和解析
高级补救功能,包括修复扫描过程中未涵盖的问题所必需的综合任务清单
超过 40 种开箱即用的安全遵从性报告,包括 PCI Data Security Standard、ISO 17799 与 ISO 27001、HIPAA、GLBA 和 Basel II
转自:领测软件测试网[http://www.ltesting.net]
原文链接:http://www.ltesting.net/ceshi/down/shangyeruanjianceshigongju/rational/aqc/2011/0614/202620.html
1. 讲座概要内容
1.1. Web基础概念、应用安全现状
1.1.1. 什么是Web应用?
Web 应用是由动态脚本、编译过的代码等组合而成。它通常架设在 Web 服务器上,用户在 Web 浏览器上发送请求,这些请求使用 HTTP 协议,经过因特网和企业的 Web 应用交互,由 Web 应用和企业后台的数据库及其他动态内容通信。
1.1.2. Web应用的架构
由C/S架构发展到了目前应用最为广泛的B/S架构,是Web通常的标准应用架构。Web应用架构不管是三层还是四层或者四层以上的架构,都是要建立一个从服务器传输数据到客户端,由客户端用户自由操作的通道。典型的Web三层应用架构如下图1所示。
图1 典型的Web 应用三层架构模型
在这种最常见的模型中,客户端是第一层,客户端如今都由浏览器所扮演着,常见的有IE,firefox,The World;使用动态 Web 内容技术的部分属于中间层,中间层包括Web服务器层,业务逻辑层,中间件层等;而常见的数据库则是第三层,包括数据库服务器和数据文件。
在这个架构中,用户通过 Web 浏览器发送请求(request)给中间层,由中间层将用户的请求转换为对后台数据的相关操作,并将最终的结果在浏览器上展示给用户。
1.1.3. Web应用安全现状
Web应用安全,指的是Web应用的状况。什么才是 Web 安全呢,或者说什么样的网站才是安全的呢?这里列举一些用户认识上的误区。
“Web 网站使用了防火墙,所以很安全”
“Web 网站使用了 IDS,所以很安全”
“Web 网站使用了 SSL 加密,所以很安全”
“漏洞扫描工具没发现任何问题,所以很安全”
但这些方法远远不能保障 Web 应用的安全,针对应用层面的攻击可以轻松的突破防火墙保护的网站。例如:最为常见的 SQL 注入攻击表现层面完全是正常的数据交互查询。对于防火墙或者入侵检测系统而言,这是最为正常的访问连接,没有任何特征能够说明此种访问连接存在恶意攻击。所以,一些简单的 SQL 注入语句就可以使得装备昂贵网络安全设备的网站被轻松攻破。
再来看目前安全方面投资和被攻击的现状,如下图所示,目前安全投资中,只有 10%花在了如何防护应用安全漏洞,而这却是 75%的攻击来源――10% Vs 75%,这是多么大的差距!这也是造成当前 Web 站点频频被攻陷的一个重要因素。
图2 当前安全现状统计分析图
1.2. Web常见攻击方式
目前常用的针对应用漏洞的攻击已经多达几百种,最为常见的攻击为下表列出的十种。
十大攻击手段 |
||
应用威胁 |
负面影响 |
后果 |
跨网站脚本攻击 |
标识盗窃,敏感数据丢失… |
黑客可以模拟合法用户,控制其帐户。 |
注入攻击 |
通过构造查询对数据库、LDAP 和其他系统进行非法查询。 |
黑客可以访问后端数据库信息,修改、盗窃。 |
恶意文件执行 |
在服务器上执行 Shell 命令 Execute,获取控制权。 |
被修改的站点将所有交易传送给黑客 |
不安全对象引用 |
黑客访问敏感文件和资源 |
Web 应用返回敏感文件内容 |
伪造跨站点请求 |
黑客调用 Blind 动作,模拟合法用户 |
黑客发起 Blind 请求,要求进行转帐 |
信息泻露和不正确的错误处理 |
黑客得到详细系统信息 |
恶意的系统检测可能有助于更深入的攻击 |
被破坏的认证和 Session 管理 |
Session token 没有被很好的保护 |
在用户推出系统后,黑客能够盗窃 session。 |
不安全的木马存储 |
过于简单的加密技术导致黑客破解编密码 |
隐秘信息被黑客解密盗窃 |
不安全的通讯 |
敏感信息在不安全通道中以非加密方式传送 |
黑客可以通过嗅探器嗅探敏感信息,模拟合法用户。 |
URL 访问限制失效 |
黑客可以访问非授权的资源连接 |
黑客可以强行访问一些登陆网页、历史网页。 |
在 OWASP 组织列举的十大 Web 应用安全隐患中,有两个概率最高的攻击手段,它们分别是“跨站点脚本攻击”(Cross-Site Scripting)也称为(CSS或者XSS)和“注入缺陷”(Injection Flaws)。
跨站点脚本的利用过程,如图3所示。
图3 跨站点脚本攻击的过程
注入缺陷,其实这类攻击大多是抓住SQL漏洞来进行攻击的。因为目前的 Web 应用中,绝大多数都会向用户提供一个接口,用来进行权限验证、搜索、查询信息等功能。而这正是攻击者利用的一个点。
其他的攻击方式就不一一列举了。
1.
1.1.
1.3. Rational AppScan解决方案介绍以及操作应用
2.
2.1.
2.2.
2.3.
1.3.1. 原理以及简介
Rational AppScan,是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),还可以根据发现的安全隐患,提出针对性的修复建议,并能形成多种符合法规、行业标准的报告,方便相关人员全面了解企业应用的安全状况。
AppScan包括了测试版,Build版,标准版,企业版。标准版是一个单机版工具,个人可以利用它针对Web应用进行黑盒测试。它的工作原理如下图所示:
图4 AppScan工作原理图
AppScan拥有一个庞大完整的攻击规则库,也称为特征库,通过在 http request 中插入测试用例的方法实现几百种应用攻击,再通过分析 http response 判断该应用是否存在相应的漏洞。特征库是可以随时添加的。它的扫描分为两个阶段:
阶段一:探测阶段。探测站点下有多少个Web页面。并列出来。
阶段二:测试阶段。针对探测到的页面,应用特征库实施扫描。扫描完毕,会给出一个漏洞的详细报告。
标准版的AppScan的界面示意图如图5所示
图5 AppScan界面示意图
界面分为五大区域:
(1)视图区
(2)Web应用程序树形列表区
(3)结果列表区
(4)漏洞统计区
(5)漏洞详细信息区
1.3.2. AppScan 扫描举例
下面我们通过简单的实例介绍一下 Rational AppScan 的使用:
定义扫描 首先确定扫描站点的 URL,根据默认的模板配置向导,确定扫描的整个站点模型以及你想扫描的漏洞种类。例如,我想扫描企业应用 http://www-1.fuiou.com:7010/wbp/,想根据默认值扫描是否有安全隐患,启动 AppScan,创建一个扫描,敲入 http://www-1.fuiou.com:7010/wbp/; 根据配置向导直至完成。如图
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/7868752/viewspace-1055971/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/7868752/viewspace-1055971/