GlassBox介绍

最新推荐文章于 2023-01-16 17:03:22 发布
最新推荐文章于 2023-01-16 17:03:22 发布
阅读量1.9k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xinyi622/article/details/51698848
版权

GlassBox

Glass box Scanning是Appscan引入的一个新的功能,代理将被安装在服务器上,这有助于扫描找到隐藏的URL和其它的问题.

1.    功能和特点

对正在发生的事情捕捉更多的方面(例如,堆栈跟踪和参数),尤其是异常

监测最高级别的资源信息(例如,总共花费的时间,要求服务或连接到数据库)

监测更多的业务,资源,如JMSEJB组件,XML处理

处理分布式监测,跟踪信息,集群应用及相关资料分发

利用Java 5的管理信息,如CPU的时间或线程的具体统计数字

使用应用服务器JMX统计信息,如线程池

捕捉历史和趋势,持久存储和报告

利用JMX提供警示和揭露统计摘要

自适应发现相关参数跟踪(例如,未知的数据库查询或Servlet的请求)

为更高级别的数据库和服务访问框架提供资源监测(如HibernateTopLink,持久性EJB等)

允许不同的数据量抽样抓获

监控系统事件,如Web应用程序404错误的请求

提供不同程度的统计汇总(例如,直方图)

监测商业活动,如客户购买或放弃的购物车

Web 应用通常使用外部的关系型数据库来存储信息。通过在数据库端安装玻璃盒代理,黑盒测试工具即可监控到 Web 应用所执行的 SQL 语句。当黑盒测试工具发送一个 SQL 注入测试变体的时候,玻璃盒代理会分析数据库端实际执行的 SQL 语句,以此判断当前攻击是否成功。如果玻璃盒代理探测到攻击已经成功,它将通知黑盒测试工具,黑盒测试工具从而会报告存在 SQL 注入安全漏洞。请注意,这种判断方法跟基于 HTTP 响应对比的优势:如果 SQL 执行结果没有被回写到 HTTP 响应中,传统上的基于 HTTP 响应分析的方法就不能检测出当前存在 SQL 注入漏洞,而玻璃盒测试方法可以测试成功。此外,玻璃盒代理通过监控数据库端执行的 SQL 语句,可以知道当前 SQL 存在哪些参数,从而通知黑盒测试工具仅对这些参数发送 SQL 注入测试变体。这样就大大降低了无效测试变体的数量,从而提升了整体扫描效率

1.在探索阶段通过检测出代码中不可见的参数和 cookie 信息,探索隐藏的扫描路径,提高扫描覆盖率。

在应用程序中,有一些参数并未暴露给用户,即对用户是"不可见"的,传统的AppScan 运行在客户端,并不能够检测到这些参数,更无法探索到相关的页面。 Glass Box 运行于探索阶段全过程,预定义一些"感兴趣"的方法(如getParameter、Runtime.getRuntime().exec 等),并时刻检测这些方法是否运行,并进而探索出其中的参数,再根据这个参数构造扫描路径。

2.在测试阶段,Glass Box 可增强 AppScan 在各种漏洞类型方面的检测。

GlassBox 通过搜集服务端信息,可减少误报率,增强 AppScan 对各种漏洞类型的检测,主要能够增强 AppScan 对注入攻击、不安全的直接对象引用、安全配置错误和不安全的加密存储等漏洞的检测。通过扫描 AltoroJ 项目可以发现,配置 Glass Box 前,共扫描出了 100 个漏洞;而配置 Glass Box 后,共扫描到了 139 个漏洞;Glass Box 增加了了大约 40% 的漏洞扫描发现数量。

 

2.    技术架构

Glass Box 技术架构图


3.    安装部署


1.  打开文件夹"C:\ProgramFiles (x86)\IBM\Rational AppScan\Glass box",双击 GB_Java_Setup.exe 程序启动安装。(因为笔者是在本地安装,所以直接执行这个安装程序。如果应用服务器不在本机,则需要将这个文件夹的内容拷贝到应用服务器所在电脑上,确保文件访问权限正常后,再执行这个文件。)

 

TEST/RExen123456

 

Access to glass box agentrequired authentication.
Please use the credentials defined during agent installation.

Authentication failed: Bad credentials

玻璃盒测试技术是 IBM 发布的一项领先混合测试技术,它综合了黑盒安全测试和白盒安全测试的两者之长,克服了传统黑盒安全测试的不足,增强了 AppScan Standard 的探索能力,提高了扫描效率和结果准确性。

 

4.    解决问题

网页输入用户名及密码后,提示Access to glass box agent required authentication.Please use thecredentials defined during agent installation.Authentication failed: Badcredentials

 

分析:

代理程序的用户名和密码分别为安装Glass Box 时设定的用户名和密码,如需要修改密码

  直接修改位于 GBootStrap\WEB-INF 目录下的 users.xml 文件,重启 Tomcat 后生效

‚  可运行 AgentCredentials.bat <username> <password> ,重启 Tomcat 后生效

注:第一种方法验证可以成功

 

http://www.ibm.com/developerworks/cn/rational/r-cn-appscannewglassbox/

新依622
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安装Glass Box代理程序
KerryRuan的专栏
03-23 2234
安装玻璃盒代理程序 目前版本的玻璃代理程序主要支持主流 Java EE 应用程序服务器(如 JBoss,Tomcat,WebLogic 和 WebSphere)。玻璃盒代理程序可以自动化安装,但考虑到 Java EE 应用服务器的配置通常较为复杂,为支持客户手工部署需求,玻璃盒代理程序也可以手动安装。AppScan 的用户手册中有详细的解释和示例。简而言之,玻璃盒代理程序安装主要包括 J
IBM Security AppScan Glass Box:一种全新的漏洞扫描思想
KerryRuan的专栏
03-23 2776
众所周知,Web 应用安全测试通常有黑盒安全测试和白盒安全测试两种方法。这两种方法孰优孰劣一直众议纷纷。广为公认的是,这两种测试方法有着良好地互补性,两种测试方法的结合是未来安全测试技术的发展趋势。Glass Box 是 IBM 发布的一项领先混合测试技术,它增强了 Rational AppScan Standard Edition 的探索能力,提高了扫描效率和结果准确性。本文将跟读者分享这项新技
关于AppScan GlassBox的两篇文章
软件质量优化
03-15 3975
关于AppScan GlassBox的两篇文章:http://www.ibm.com/developerworks/cn/rational/r-cn-appscannewglassbox/http://www.ibm.com/developerworks/cn/rational/r-cn-appscanglassbox/index.html
Glassbox故障诊断工具监控 金蝶Apusic
Criss@陈磊
03-07 2062
1、  lassbox在Apusic应用 应用环境:Apusic6                     Glassbox2 2、  配置过程 将glassbox.war文件拷贝到(Apusic服务文件夹)/domains/mydomain/applications文件夹下。 启动Apusic服务。 接下来启动Apusic 的Web管理控制台输入用户名密码登陆,点击J
故障诊断工具Glassbox在Tomcat上应用。
Criss@陈磊
03-07 1747
1、简介 glassBox是一个自动故障排除和监控的应用程序,通过一次点击诊断常见的问题。无论是在生产或测试,你都可以拖放到您现有的Java应用服务器中。它故障排除的知识很简单,任何人都可以找出失败的原因。 glassbox开源工具主页:http://www.glassbox.com/glassbox/Project.html glassbox下载页面:http://www.gl
GlassBox GDC 2012 Slides
04-02
SimCity 2013 游戏的引擎 GlassBox 介绍
剑桥少儿英语二级下Unit Id like a glass of waterPPT课件.pptx
10-07
例如"a cup of…"用于描述一杯茶或咖啡,"a glass of…"用于描述一杯水或牛奶,"a bottle of…"用于一瓶果汁或水,"a pair of…"用于一双鞋或袜子,"a bag of…"用于一袋爆米花或苹果,"a box of…"用于一箱玩具或...
初三英语名词专题复习公开课PPT课件.pptx
10-07
- 特殊变化:以x、s、ch、sh结尾的名词加-es,如box-boxes。 - 辅音+y结尾的名词,变y为i再加-es,如story-stories。 - 元音+y结尾的名词直接加-s,如day-days。 - 以e结尾的名词,直接加-s,如page-pages。 2....
Appscan的初级入门
04-18
2. Glass box testing:这是一种新的测试方法,通过安装代理服务器来发现隐藏的URL和其他问题。 3. Web服务扫描:提供对Web服务的自动化扫描功能。 4. Java脚本安全分析:专门针对JavaScript进行安全性分析,能够...
Glassbox-开源
06-08
Glassbox 是 Java 应用程序的自动故障排除和监控代理,可通过一键诊断常见问题。 从 http://www.glassbox.com 放入 .war 文件,找出现有网络应用程序的问题,无需更改任何代码
故障诊断工具glassbox应用到Apusic+linux之上
Criss@陈磊
01-30 1016
glassbox官方地址:http://glassbox.sourceforge.net/glassbox/Home.html 1、环境准备:apusic7.0(安装到了home下)                           红旗3(或者中标麒麟这两个OS都试过) 2、启动apusic7.0      打开浏览器,输入服务器管理控制台地址(http://(apusic服务器IP:
故障诊断工具Glassbox在tongweb上的应用
Criss@陈磊
03-09 1148
1、 glassbox应用在tongweb上 glassbox版本2.0 tongweb版本5.0 2、 配置过程 安装tongweb5.0,进入tongweb的web管理控制台。 点击部署,选择glassbox.war,点击部署 部署完成后,点击应用管理。下的web应用。点击glassbox对应的http访问。 再出现的网页中点击安装按钮 关闭tongwe
AppScan介绍和安装
最新发布
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-16 1321
Appscan 10中文版是是全新网络安全漏洞扫描软件,软件可以直接可以对OS命令、SSRF和XXE攻击等漏洞进行检测,使得漏洞检测更加容易,提高漏洞的扫描效率。软件同时支持动态、静态、互动分析三种不同的测试功能,可自动化扫描检测网络或者系统安全漏洞,并采用全新的爬虫技术,能够根据网站入口自动摸取网页链接进行安全扫描,提供了扫描、报告和修复建议等功能。
简单的机器学习程序_GlassBox 程序合成:一种机器学习方法
weixin_39573981的博客
11-14 216
引用:Christakopoulou, K., & Kalai, A. T. (2017). Glass-Box Program Synthesis: A Machine Learning Approach. arXiv preprint arXiv:1709.08669.一、摘要最近提出的从数据中学习编写计算机程序的模型,使用的是输入/输出实例或丰富的执行痕迹。相反,我们认为一...
白盒测试方法以及归纳
开了路虎的驸马
05-21 2193
白盒测试基本概念   白盒测试(white-box testing)又称透明盒测试(glass box testing)、结构测试(structural testing)等,软件测试的主要方法之一,也称结构测试、逻辑驱动测试或基于程序本身的测试。测试应用程序的内部结构或运作,而不是测试应用程序的功能(即黑盒测试)。在白盒测试时,以编程语言的角度来设计测试案例。测试者输入数据验证数据流在程序中的流
软件质量保证与测试——第五章 白盒测试知识点总结
volunze的博客
11-09 3283
目录概念中英对照解释 概念 特征 白盒测试(white-box testing)是一种核实技术,是软件工程师用来检查其代码是否符合预期 它考虑系统或组件内部的机制 白盒测试又称为structural testing,clear box testing,glass box testing 它表示测试者对软件内部工作有足够的可见性,尤其是逻辑和代码的结构 分类 白盒测试分为静态测试(static testing)和动态测试(dynamic testing) 静态白盒测试方法:代码检查法、静态结构分析法、
机器学习模型可解释性的6种Python工具包,总有一款适合你!
fengdu78的博客
07-12 4488
开发一个机器学习模型是任何数据科学家都期待的事情。我遇到过许多数据科学研究,只关注建模方面和评估,而没有解释。然而,许多人还没有意识到机器学习可解释性在业务过程中的重要性。以我的经验,商业...
利用Jbox2D物理引擎实现愤怒的小鸟
Hi~Future
06-20 2160
要导入jar包:jbox2d-library-2.2.1.1.jar 1、
探索与开发Google Glass应用
第一部分“Discover”(发现)介绍了谷歌眼镜的基础知识,包括其技术背景、市场潜力和用户需求分析,让开发者对平台有全面的认识。 第二部分“Design”(设计)强调了针对可穿戴设备进行用户体验设计的重要性。这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值