AppScan功能特点

1 全面的漏洞规则库

在漏洞检测能力方面，ASE能够覆盖WASC和OWASP两大web安全标准组织定义的、目前主流的各种攻 击技术和手段，包括但不限于Brute Force、Insufficient Authentication、Credential/Session Prediction、Insufficient Authorization、Insufficient Session Expiration、Session Fixation、 Content Spoofing、Cross-site Scripting、Buffer Overflow、Format String Attack、LDAP Injection、OS Commanding、SQL Injection、SSI Injection、XPath Injection、Directory Indexing、 Information Leakage、Path Traversal、Predictable Resource Location、Abuse of Functionality、 Denial of Service、Insufficient Process Validation等攻击技术和方法。其中，对于Cross Site Scripting，AppScan可以能够检测至少20种变种；而对SQL Injection至少有40种不同的变种。

同时，漏洞规则库支持方便的管理和升级。ASE支持漏洞规则库的灵活管理，包括在线/手动升 级、规则导入/导出、规则自定义等功能，能够确保及时使用最新的、最全面的、最准确的漏洞攻击技 术和方法来抵御各种攻击。

2 漏洞扫描的全面性和准确性

AppScan支持当前采用的Web应用的技术，如JavaScript、HTTPS以及认证等，以便确保发现URL的完 整性

3 最为全面的规则库

作为安全工具的核心能力，AppScan拥有业界公认的最为全面强大的漏洞扫描能力。HCL的技术团 队维护了最全面的规则库，也提供了业界最快的漏洞库更新频率。所有的这些都是保障客户安全的基石.

4 不仅仅发现问题，更注重解决问题

AppScan不仅仅发现问题，更聚焦在如何解决问题。通过AppScan内置的漏洞管理流程，可以跟踪 漏洞的状态，如open、in progress、closed 等状态。 另外，针对不同开发语言，AppScan还提供了解决建议（包括.net，J2EE等），这也是业界独一无 二的.

5 强大的报告分析能力

AppScan还提供了一系列报告功能，包括存从性检查，可以检查40多种国际行业标准和法规；能够 提供给开发人员详细的漏洞测试报告，包括了测试用例的执行过程数据；提供给各个管理人员统计分 析报告，可以比对不同部门、不同应用漏洞发现的情况、趋势、分布；等等。

6 漏洞攻击指导，提升安全防范水平

内置的web漏洞培训指导，阐述了每个漏洞的详细形成原理、过程，并演示了验证、修复等内容， 从而可以帮助客户的技术人员促进对漏洞的理解和交流，提升组织的安全防范能力和水平。

7 基于国际标准，提高企业的遵从性

在 Web 应用安全方面有两个组织：WASC 和 OWASP，它们在呼吁企业加强应用安全意识和指导企业 开发安全的 Web 应用方面，起到了重要的作用。

Web Application Security Consortium（WASC），是一个由安全专家、行业顾问和诸多组织的代 表组成的国际团体。他们负责为 WWW 制定被广为接受的应用安全标准。WASC 组织的关键项目之一是 “Web 安全威胁分类”，也就是将 Web 应用所受到的威胁、攻击进行说明并归纳成具有共同特征的分 类。该项目的目的是针对 Web 应用的安全隐患，制定和推广行业标准术语。WASC 将 Web 应用安全威胁 分为如下六类：

（1）Authentication（验证） 用来确认某用户、服务或是应用身份的攻击手段。

（2）Authorization（授权） 用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。

（3）Client-Side Attacks（客户侧攻击） 用来扰乱或是探测 Web 站点用户的攻击手段。

（4）Command Execution（命令执行） 在 Web 站点上执行远程命令的攻击手段。

（5）Information Disclosure（信息暴露） 用来获取 Web 站点具体系统信息的攻击手段。

（6）Logical Attacks（逻辑性攻击） 用来扰乱或是探测 Web 应用逻辑流程的攻击手段。

可以通过如下的网址访问该组织网站，获得更多详细信息：http://www.webappsec.org。也可以通过如下 链接，具体了解“Web 安全威胁分类”项目：http://www.webappsec.org/projects/threat/v1/WASCTC-v1_0.pdf

Open Web Application Security Project（OWASP），该组织致力于发现和解决不安全 Web 应用 的根本原因。它们最重要的项目之一是“Web 应用的十大安全隐患”，总结了目前 Web 应用最常受到的 第 7 页 共 7 页 十种攻击手段，并且按照攻击发生的概率进行了排序。这个项目的目的是统一业界最关键的 Web 应用 安全隐患，并且加强企业对 Web 应用安全的意识。

 

可以通过如下的网址访问该组织，了解更为详细的信息：http://www.owasp.org 。也可以通过如下链 接，具体了解“Web 应用十大安全隐患”项目。

http://www.owasp.org/index.php/OWASP_Top_Ten_Project 。

AppScan 完全支持以上两个组织的成果和标准