IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全，第 1 部分：企业级 Web 应用安全解决方案介绍及其特点

核心提示： 图 2 ASE 扫描 Web 应用原理－黑盒扫描如图 2 所示， ASE 系统就像普通用户浏览网站一样，IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全，第 1 部分：企业级 Web 应用安全解决方案介绍及其特点(5)，并不关心 Web

图 2 ASE 扫描 Web 应用原理－黑盒扫描

如图 2 所示， ASE 系统就像普通用户浏览网站一样，并不关心 Web 应用内部的技术架构（如使用何种语言编写等），只是将应用看做黑盒。它从网站的主页（home page）或者用户指定的任何一页开始，遍历所有链接。根据每一页面的特点，ASE 会使用多种测试参数，对页面进行分析。这些测试参数以 HTTP 请求的形式发送，并通过返回的 HTTP 响应来决定应用中是否存在安全漏洞。ASE 有数以千计的内置测试参数，可以检测出百余种漏洞。

2. 扫描范围

保障应用安全，有很多层面，如下图 3 所示的安全栈结构。在这之中，ASE 可以覆盖 Web 服务器、Web 服务器配置、第三方组件和 Web 应用本身以及 Web Services。

图 3 安全栈结构及 ASE 扫描范围

ASE 能够测试的漏洞类型，以国际组织“Web 应用安全委员会（WASC）” Threat Classification 项目中定义的 6 大类、24 小类为基础，再加上经过多年实践经验总结的部分私有测试用例，形成了一套完整的、行之有效的漏洞库，并及时更新，以确保 Web 应用扫描结果的全面性。