使用 Rational AppScan 保证 Web 应用的安全性，第 1 部分: Web 安全与 Rational AppScan 入门

核心提示： 除 Rational ClearQuest 之外，AppScan 还可以和 Mercury 的 Quality Center 集成，使用 Rational AppScan 保证 Web 应用的安全性，第 1 部分: Web 安全与 Rational AppScan 入门(10)，3) 在集成和发

除 Rational ClearQuest 之外，AppScan 还可以和 Mercury 的 Quality Center 集成。

3) 在集成和发布阶段中的安全保障

在集成和发布阶段，可以通过简单的配置，使用 AppScan 对应用进行全面的扫描，企业仅需要指明 Web 应用的入口链接，AppScan 就会利用网络爬行（Crawling）技术，遍历应用中所有需要测试的链接，并对每个链接发送多种测试参数，诊断其有无漏洞可被利用。最后将结果呈现在用户面前。如图 9 是对示例网站 http://demo.testfire.net 进行诊断的结果。

从结果可以看出，本次诊断共发现了 88 个安全隐患，并按照严重程度进行了统计。诊断结果的中部，显示了 AppScan 扫描出来的应用结构、每个模块或链接包含的漏洞数；右上方则按照严重程度，对扫描出来的漏洞进行了分类；结果的右下方对每一种隐患，进行了解释，并提出了详细的修复建议，同时说明了为发现这个漏洞，AppScan 发送了哪些测试参数等。

图 9: AppScan 的诊断结果示例

4) 对诊断结果进行全面的分析和报告

Rational AppScan 不仅可以对 Web 应用进行自动化的扫描、指出安全漏洞的修复意见，还可以将诊断结果，使用不同的行业标准、法规，形成针对性的报告，让相关人员对应用安全状况和法规遵从等有了全面的认识。如图 10，左图是 AppScan 可以自动生成的行业标准报告，而右图则是近 40 种的法规遵从报告，如赛班斯法规遵从等。

图 10: 自动生成的行业标准报告

小结

通过上述对 Web 应用现状和常见的 Web 应用攻击示例分析，我们可以看出，目前因特网上的 Web 应用，存在着极大的安全隐患和风险，企业对 Web 应用安全的保护，已经刻不容缓。IBM Rational AppScan，作为先进的 Web 应用自动化诊断工具，可以协助企业在整个 Web 应用开发生命周期，将安全意识贯彻到企业全员具体的工作中，高效率的发现应用中存在的安全隐患、给出详细的修复建议、并生成多种符合行业标准和法规的报告，已在全球拥有近千个成功案例，是一个完整的、端到端的 Web 应用安全解决方案，能真正为企业的 Web 应用披上安全的盔甲。