IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,第 1 部分:企业级 Web 应用安全解决方案介绍及其特点
2009-11-20 00:00:00 来源:WEB开发网核心提示: 图 2 ASE 扫描 Web 应用原理-黑盒扫描如图 2 所示, ASE 系统就像普通用户浏览网站一样,IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,第 1 部分:企业级 Web 应用安全解决方案介绍及其特点(5),并不关心 Web
图 2 ASE 扫描 Web 应用原理-黑盒扫描
如图 2 所示, ASE 系统就像普通用户浏览网站一样,并不关心 Web 应用内部的技术架构(如使用何种语言编写等),只是将应用看做黑盒。它从网站的主页(home page)或者用户指定的任何一页开始,遍历所有链接。根据每一页面的特点,ASE 会使用多种测试参数,对页面进行分析。这些测试参数以 HTTP 请求的形式发送,并通过返回的 HTTP 响应来决定应用中是否存在安全漏洞。ASE 有数以千计的内置测试参数,可以检测出百余种漏洞。
2. 扫描范围
保障应用安全,有很多层面,如下图 3 所示的安全栈结构。在这之中,ASE 可以覆盖 Web 服务器、Web 服务器配置、第三方组件和 Web 应用本身以及 Web Services。
图 3 安全栈结构及 ASE 扫描范围
ASE 能够测试的漏洞类型,以国际组织“Web 应用安全委员会(WASC)” Threat Classification 项目中定义的 6 大类、24 小类为基础,再加上经过多年实践经验总结的部分私有测试用例,形成了一套完整的、行之有效的漏洞库,并及时更新,以确保 Web 应用扫描结果的全面性。
- ››IBM WebSphere常见问题解答
- ››IBM WebSphere Studio V5相关认证资料
- ››IBM WebSphere应用服务器发展趋势
- ››IBM WebSphere Application Server诊断和调优(一...
- ››IBM WebSphere Application Server诊断和调优(二...
- ››IBM WebSphere Performance Pack服务器
- ››IBM WebSphere软件概述
- ››IBM PowerVM 实战手册,第 3 部分 : VIO server 配...
- ››IBM PowerVM 实战手册,第 2 部分 : VIO server 准...
- ››IBM p 系列服务器系统固件升级攻略
- ››IBM PowerVM 概述
- ››IBM Systems Director 在 AIX 上的常见问题及解决...
- 中查找“IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,第 1 部分:企业级 Web 应用安全解决方案介绍及其特点”更多相关内容
- 中查找“IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,第 1 部分:企业级 Web 应用安全解决方案介绍及其特点”更多相关内容
- 上一篇:面向 Java 开发人员的 Scala 指南: 用 Scitter 更新 Twitter
- 下一篇:高效率创建安全的 Java 应用, 第 2 部分: 使用 Rational AppScan 最大化 Java Web 应用程序的安全性
更多精彩
赞助商链接