IBM Security Appscan(AppScan)是一种自动化的动态安全测试工具。 它运行各种测试以探查已知的漏洞和弱点,并将结果格式化为报告,以帮助您了解应用程序中的漏洞。 这些报告还提供了更多信息,以在您实施必要的保护时为您提供帮助。
AppScan有多个版本,可满足整个软件开发生命周期(SDLC)中的Web应用程序安全测试需求。 在本文中,我们指的是AppScan Standard和Enterprise Edition,通常由开发人员,测试人员和安全团队使用。
AppScan包含许多测试,将近2000,并且每次更新都添加了新测试。 自然,并非所有应用程序都需要进行所有测试。 为了使事情变得容易,AppScan将测试分组到测试策略中。 通过选择策略,可以自定义针对应用程序运行的测试类型,从而使您可以针对应用程序和环境确定正确的测试。
本文详细解释了什么是测试和策略,研究了“开箱即用”的可用策略,并讨论了如何选择最适合您需求的策略。
了解策略,测试和变体
在最高级别,AppScan中的测试策略是安全性测试的集合,这些安全性测试用于评估Web应用程序的安全性。 不同的策略包含不同的测试集以实现特定的测试目标。 测试将探查应用程序,并尝试检测特定类型的漏洞。 测试可能会寻找一般漏洞,例如“跨站点脚本”,或者可能会寻找更具体的问题。
测试由一个或多个测试变体组成。 测试变体是旨在检测特定漏洞的特定过程。 一个测试中包含的测试变体数量从一个到超过100个。更一般的测试具有更多的变体。
例如,AppScan的测试可以检查“跨站点脚本”错误,其中包括105个不同的变体。 一种这样的变体是将用户输入修改为>'"<script>alert(1)</script> 。另一种变体可能是插入--><script>alert(1)</script>到页面参数。这两个例子将是在给定的不同的场景的网络应用程序检测“跨站点脚本”是有用的。
配置测试策略时,可以选择适合您的应用程序和组织目标的测试和测试变体。
了解测试类别
AppScan根据测试是否具有侵入性,类型,严重性以及Web应用程序安全联盟(WASC)分类对测试进行分类。
侵入性测试
测试可以分为侵入性或非侵入性。 侵入式测试可探测诸如缓冲区溢出,命令执行和拒绝服务之类的漏洞。 侵入性测试通常是托管中间件或应用程序库中的错误,而不是应用程序团队引入的缺陷。 由于侵入式测试会破坏数据库或操纵服务器的配置,因此它们通常在隔离的测试环境中运行。 运行侵入性测试也可能导致服务器不稳定。
测试类型
测试可以是以下类型之一:
- 应用程序:这些测试检查通常与应用程序中非安全编码做法相关的漏洞。
- 基础结构:这些测试着眼于中间件(例如,Web服务器或数据库)的配置和已知的弱点。 他们测试已知的产品漏洞和不安全的配置。
- 第三方Web组件:与应用程序测试类似,这些测试查找非安全的编码做法
最低0.47元/天 解锁文章
926
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
