WEB开发网
开发学院软件开发Java IBM Rational AppScan Enterprise Edition 护驾企... 阅读

IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,第 1 部分:企业级 Web 应用安全解决方案介绍及其特点

 2009-11-20 00:00:00 来源:WEB开发网   
核心提示: 表 1 列举了 WASC 的 Web 应用漏洞分类,每类漏洞的详细信息请参见如下地址 http://www.webappsec.org/projects/threat/表 1 - WASC Threat Classification图片看不清楚?请点击这里查看原图(大图),IBM Rationa

表 1 列举了 WASC 的 Web 应用漏洞分类,每类漏洞的详细信息请参见如下地址 http://www.webappsec.org/projects/threat/

表 1 - WASC Threat Classification

IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,第 1 部分:企业级 Web 应用安全解决方案介绍及其特点

图片看不清楚?请点击这里查看原图(大图)。

3.数据流分析

在详细解释 ASE 内部的数据流之前,需要先了解几个关键术语:

Content Scan Job(内容扫描任务):内容扫描任务负责遍历和测试网站的页面,从中发现安全隐患。该任务使用任务管理员(Job Administrator)设定的参数。

Infrastructure Scan Job(结构扫描任务):结构扫描任务用来收集应用的技术架构信息。它使用一系列 IP 地址作为输入,扫描对应的端口。也就是说,它遍历企业中的每一个 IP 地址,检查其对应的主机。如果发现了一台主机,该任务就会使用参数中指定的所有端口来判断这台主机是否为 Web 服务器。如果是,ASE 将收集该 Web 服务器的版本、SSL 认证、允许的 HTTP 方法等信息。

Import Job(导入任务):导入任务负责数据格式的整合,比如将 AppScan 桌面版的 XML 格式文件,导入到 ASE 中加以利用。

Report Pack(报告包):报告包是生成报告的集合,可以按照任何选择的的标准进行组织,如按照 Web 应用、按照开发人员、按照业务部门等组合报告。

上一页  1 2 3 4 5 6 7 8 9 10  下一页

Tags:IBM Rational AppScan

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接