IBM Security AppScan Standard:扫描和分析结果

IBM®SecurityAppScan®Standard通过扫描应用程序,识别漏洞并生成带有智能修订建议的报告来自动化应用程序安全测试,以简化补救措施。 它在整个开发过程中提供静态和动态的应用程序安全性测试。

在本文中,观看视频演示以了解如何配置IBM Security AppScan来对新应用程序进行动态扫描,然后使用五步过程来分析扫描结果。 您还可以跟随一个案例研究,该案例演示如何使用AppScan Standard扫描和测试两个Web应用程序,然后观看有关组织如何使用AppScan Standard和Source版本的组合以提供必要的嵌入式安全性和分析的真实探索。帮助开发人员消除源代码漏洞。 还有用于配置AppScan以测试移动设备的资源。

使用AppScan Standard配置首次扫描

技术支持工程师Scott Hurd概述了设置您的第一次Security AppScan Standard扫描时要考虑的问题,包括:

  • 您正在扫描的站点的结构,配置,语言,平台和目的(生产或测试)
  • 涉及的唯一页面数
  • 站点与您在其上运行AppScan的服务器之间存在哪些类型的安全层(提示:对于初次使用AppScan的用户,在设置扫描时,身份验证可能会成为障碍。)

该演示在测试站点上执行,但演示者包括有关扫描生产站点的信息。

使用AppScan Standard测试两个Web应用程序

IBM Rational Focal Point开发团队成员Shivakumar Patil在“ 案例研究:Rational Focal Point的AppScan安全扫描 ”中,最近两年一直在使用Rational AppScan进行安全性研究,其中详细介绍了如何使用IBM Security AppScan Standard版来测试Web基于应用程序及其外部端点,例如SOAP和REST Web服务。

奖励:使用AppScan Standard测试移动应用程序和服务

为了向其中添加移动组件,IT安全专业人员Daniel J. Anderson,Carlos Hoyos和Nader Nassar可以使用“ 使用IBM保护您的移动应用程序 ”一文中的AppScan Standard的动手示例来帮助您探索移动应用程序安全性的不同方面。 安全性AppScan Standard 。” 对于Android和iOS设备,它们说明了移动应用程序和Web服务的类型; 如何配置用户代理,仿真器和移动设备; 如何进行记录和测试; 以及如何加密传输层。

使用AppScan Standard分析您的扫描结果

Rodney Ryan讨论了分析AppScan Standard扫描结果的简单五步过程。 Ryan以跨站点脚本漏洞(XSS)为例。 XSS是通常在Web应用程序中发现的一种计算机安全漏洞。 它使攻击者可以将客户端脚本注入网页中,以便攻击者可以绕过访问控制限制(例如, 相同的源策略 ,该策略允许源自同一站点的脚本可以访问彼此的方法和属性,但可以限制来自其他站点的脚本执行操作所以)。

这些步骤包括:

  1. 了解问题:阅读咨询选项卡上的咨询信息。
  2. 了解问题:阅读常规和特定的修复建议。
  3. 请求和响应:了解AppScan如何操纵服务器。
  4. 请求和响应:了解为什么AppScan的操作被认为是正面测试。
  5. 请求和响应:对测试进行一些手动验证。

在现实世界中使用AppScan Standard

美国大学理事会的Sean Poris讨论了他的组织如何使用IBM Security AppScan Standard和IBM Security AppScan Source Edition提供必需的嵌入式安全性和分析,以帮助开发人员消除以会员资格为驱动力的非营利性组织的源代码漏洞。

大学理事会以其旗舰产品,SAT和AP测试而闻名。 College Board的IT环境支持大约200种不同的应用程序,这些应用程序既可以自定义,也可以现成。 有广泛的基础架构来支持这些应用程序。 该基础架构在异地的数据中心中有数百台服务器,并且他们目前正在开展虚拟化计划,以减少这些服务器的物理占用空间。 董事会使用IBMRational®产品来实现各种Web应用程序和非Web应用程序,数据仓库,前端应用程序以及移动应用程序的开发生命周期。

根据Poris的说法,在开发生命周期中预先考虑安全性至关重要。 董事会面临的挑战之一是如何在生命周期的早期阶段赋予开发人员权力,以识别漏洞并从源代码中消除漏洞。

董事会使用AppScan Standard攻击他们的网站-像攻击者一样进入网站,确定攻击者可能采取的措施,然后运行自动脚本来查找网站中是否存在任何漏洞。 它结合了AppScan Standard功能和AppScan Source,后者执行静态分析并从本质上询问源代码,以寻找该源代码中的漏洞路径。


翻译自: https://www.ibm.com/developerworks/security/library/se-scan/index.html

你可能感兴趣的:(IBM Security AppScan Standard:扫描和分析结果)