WEB开发网
开发学院软件开发Java IBM Rational AppScan Enterprise Edition 护驾企... 阅读

IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,第 1 部分:企业级 Web 应用安全解决方案介绍及其特点

 2009-11-20 00:00:00 来源:WEB开发网   
核心提示: 图 2 ASE 扫描 Web 应用原理-黑盒扫描如图 2 所示, ASE 系统就像普通用户浏览网站一样,IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,第 1 部分:企业级 Web 应用安全解决方案介绍及其特点(5),并不关心 Web

图 2 ASE 扫描 Web 应用原理-黑盒扫描

IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,第 1 部分:企业级 Web 应用安全解决方案介绍及其特点

如图 2 所示, ASE 系统就像普通用户浏览网站一样,并不关心 Web 应用内部的技术架构(如使用何种语言编写等),只是将应用看做黑盒。它从网站的主页(home page)或者用户指定的任何一页开始,遍历所有链接。根据每一页面的特点,ASE 会使用多种测试参数,对页面进行分析。这些测试参数以 HTTP 请求的形式发送,并通过返回的 HTTP 响应来决定应用中是否存在安全漏洞。ASE 有数以千计的内置测试参数,可以检测出百余种漏洞。

2. 扫描范围

保障应用安全,有很多层面,如下图 3 所示的安全栈结构。在这之中,ASE 可以覆盖 Web 服务器、Web 服务器配置、第三方组件和 Web 应用本身以及 Web Services。

图 3 安全栈结构及 ASE 扫描范围

IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,第 1 部分:企业级 Web 应用安全解决方案介绍及其特点

ASE 能够测试的漏洞类型,以国际组织“Web 应用安全委员会(WASC)” Threat Classification 项目中定义的 6 大类、24 小类为基础,再加上经过多年实践经验总结的部分私有测试用例,形成了一套完整的、行之有效的漏洞库,并及时更新,以确保 Web 应用扫描结果的全面性。

上一页  1 2 3 4 5 6 7 8 9 10  下一页

Tags:IBM Rational AppScan

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接