使用 Rational AppScan 保证 Web 应用的安全性，第 1 部分: Web 安全与 Rational AppScan 入门

核心提示： Malicious File Execution（恶意文件执行）；Insecure Direct Object Reference（不安全的直接对象引用）；Cross-Site Request Forgery（跨站点的请求伪造）；Information Leakage and Improper

Malicious File Execution（恶意文件执行）；

Insecure Direct Object Reference（不安全的直接对象引用）；

Cross-Site Request Forgery（跨站点的请求伪造）；

Information Leakage and Improper Error Handling（信息泄漏和不正确的错误处理）；

Broken Authentication & Session Management（损坏的认证和 Session 管理）；

Insecure Cryptographic Storage（不安全的密码存储）；

Insecure Communications（不安全的通信）；

Failure to Restrict URL Access（未能限制 URL 访问）

在这里，我们就不过多的讨论这几种安全隐患，可以使用 3.1 节中提供的链接得到更多的描述信息。

构筑安全的 Web 应用

功能和性能，往往是我们衡量应用是否满足需求的指标，但是，对于载体为 Internet 的特殊应用－Web 应用而言，安全性也是必要的考量标准，皮之不存，毛将焉附？如果失去了安全性，即使功能再完备、性能再可靠的 Web 应用，一旦遭到黑客的攻击和破坏，一切都失去了意义。因此企业，尤其是提供 Web 应用的企业，一定要加强对应用安全的重视程度。

针对目前 Web 应用安全性不高的现状，IBM Rational 提出了构筑安全 Web 应用的解决方案。

加强全员应用安全性意识

一个根本、底层的战略手段就是加强企业全员的应用安全意识。正如前面所阐述过的，对于应用而言，无论是开发人员、测试人员、质量管理人员还是项目经理、企业高层，都会对其功能和性能做更多的关注，这也是由于早期应用多为 C/S 架构的应用，安全问题并不突出。但是在当今的环境，就不得不将安全作为应用质量的基础。

图 5 中功能、易用性、可靠性、性能、可支持性，是由 Rational Unified Process（RUP）定义的 FURPS 质量模型，它告诉我们应用的质量需要从这几个方面着手衡量，对于 Web 应用，就必须将安全性作为质量模型的基础条件。