IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全，第 1 部分：企业级 Web 应用安全解决方案介绍及其特点

核心提示： 表 1 列举了 WASC 的 Web 应用漏洞分类，每类漏洞的详细信息请参见如下地址 http://www.webappsec.org/projects/threat/表 1 － WASC Threat Classification图片看不清楚？请点击这里查看原图（大图），IBM Rationa

表 1 列举了 WASC 的 Web 应用漏洞分类，每类漏洞的详细信息请参见如下地址 http://www.webappsec.org/projects/threat/

表 1 － WASC Threat Classification

图片看不清楚？请点击这里查看原图（大图）。

3．数据流分析

在详细解释 ASE 内部的数据流之前，需要先了解几个关键术语：

Content Scan Job（内容扫描任务）：内容扫描任务负责遍历和测试网站的页面，从中发现安全隐患。该任务使用任务管理员（Job Administrator）设定的参数。

Infrastructure Scan Job（结构扫描任务）：结构扫描任务用来收集应用的技术架构信息。它使用一系列 IP 地址作为输入，扫描对应的端口。也就是说，它遍历企业中的每一个 IP 地址，检查其对应的主机。如果发现了一台主机，该任务就会使用参数中指定的所有端口来判断这台主机是否为 Web 服务器。如果是，ASE 将收集该 Web 服务器的版本、SSL 认证、允许的 HTTP 方法等信息。

Import Job（导入任务）：导入任务负责数据格式的整合，比如将 AppScan 桌面版的 XML 格式文件，导入到 ASE 中加以利用。

Report Pack（报告包）：报告包是生成报告的集合，可以按照任何选择的的标准进行组织，如按照 Web 应用、按照开发人员、按照业务部门等组合报告。