Web安全应用测试

  1. 你的位置: 首页 > Web安全应用测试

Security AppScan工具介绍

2020-04-01 16:05:23 266

1.1 方案简介

Security AppScan,是对Web应用和Web Services进行自动化安全扫描的黑盒工具,它不但可以 简化企业发现和修复Web应用安全隐患的过程,还可以根据发现的安全隐患,提出针对性的修复建议, 并能形成多种符合法规、行业标准的报告,方便相关人员全面了解企业应用的安全状况。

 企业仅需要指明Web应用的入口链接,AppScan就会利用网络爬行(Crawling)技术,遍历应用 中所有需要测试的链接,并对每个链接发送多种测试参数,诊断其有无漏洞可被利用。最后将结果呈 现在用户面前。

 Security AppScan不仅可以对Web应用进行自动化的扫描、指出安全漏洞的修复意见,还可以将 诊断结果,使用不同的行业标准、法规,形成针对性的报告,让相关人员对应用安全状况和法规遵从 等有了全面的认识。比如AppScan可以自动生成的行业标准报告,同时满足近40种的法规遵从报告,如 赛班斯法规遵从等。

1.2 产品的主要特点 

1.2.1 最强悍的 Web 应用安全检测工具,全面提高您的安全级别 

防火墙、入侵检测系统并不意味着您的Web是安全的,通过Web应用本身的漏洞黑客就可以轻松 的进入系统,防火墙、入侵检测系统则如同虚设。这种针对Web应用的攻击是网络安全产品无法防范 的。完整的Web安全解决方案不仅仅需要网络安全产品,如防火墙/入侵检测系统,也需要针对应用安 全的产品。

AppScan是业界最为强悍的安全检测工具,使用AppScan将会全面提高您的安全级别。AppScan核 心技术是利用内置的漏洞规则库模拟黑客对Web进行扫描,从而发现漏洞,帮助用户改进漏洞。用一句 形象的比喻来说明:防火墙/入侵检测系统如同金钟罩、铁布衫等外功,防止明枪;AppScan如同太极 等内功,弥补了自身的漏洞,躲避暗箭;内外兼修才能确保企业Web应用信息安全。

1.2.2 易用性极强,轻松上手

面对越来越复杂的应用,AppScan的使用却是非常简单。不需要关注Web应用是如何开发的,不 需要对编程有深入的了解,AppScan让即便不了解软件的使用者都能立刻上手,快速地检测应用安全漏洞。

实际上AppScan是一个黑盒测试工具,内置的漏洞规则库针对Web应用模拟外部攻击,通过收集 反馈判断安全漏洞所在的位置。AppScan不仅可以自动化地帮助客户全面检测整个Web应用,或者用户 所关注的某部分;也可以录制客户的操作,模拟客户真正关心的操作场景,进而发现这个场景中的安全隐患。AppScan的易用性能让业务人员、质量管理人员都参与到Web应用开发、运维过程中来,最准 确的保证了业务安全性。

1.2.3 最全面的漏洞规则库,最快的规则库更新

拿大家常用的杀毒工具作个比喻:杀毒工具核心部分是病毒特征库,特征库中病毒种类越多, 杀毒工具查杀的病毒越多;杀毒工具常常自动更新特征库,更新的越频繁,新病毒也就越快的能被查 杀。查杀病毒的种类多、更新快的杀毒工具是客户的首选。 同理,AppScan核心是漏洞攻击规则,也是业界最为强悍的规则库,保证了AppScan是最强悍的 应用安全检测工具。

同时,AppScan每周将会更新2~3次规则库,一旦有新的攻击方式出现,它也会被 最快的更新到规则库中,用户可以迅速检测出该漏洞。 在线更新保障客户拥有业界最新最完整的漏洞 规则库,轻松应对更多的安全挑战。

1.2.4 提供了最完整的针对漏洞的解决方法 

AppScan不仅仅能够发现漏洞,更提供了解决该漏洞的方法。例如,针对平台的安全漏洞 AppScan告诉系统管理员应该去打相应的补丁包;针对程序安全漏洞,AppScan告诉开发人员如何修改 程序去避免这样的漏洞,并且提供了各种程序语言的例子加以说明。

1.2.5 基于国际标准,提高企业的遵从性

在Web应用安全方面有两个组织:WASC和OWASP,它们在呼吁企业加强应用安全意识和指导企业 开发安全的Web应用方面,起到了重要的作用。

Web Application Security Consortium(WASC),是一个由安全专家、行业顾问和诸多组织的 代表组成的国际团体。他们负责为WWW制定被广为接受的应用安全标准。WASC组织的关键项目之一是 “Web安全威胁分类”,也就是将Web应用所受到的威胁、攻击进行说明并归纳成具有共同特征的分 类。该项目的目的是针对Web应用的安全隐患,制定和推广行业标准术语。WASC将Web应用安全威胁分 为如下六类:

 Authentication(验证) 用来确认某用户、服务或是应用身份的攻击手段。

 Authorization(授权) 用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。

 Client-Side Attacks(客户侧攻击) 用来扰乱或是探测Web站点用户的攻击手段。

 Command Execution(命令执行) 在Web站点上执行远程命令的攻击手段。 

 Information Disclosure(信息暴露) 用来获取Web站点具体系统信息的攻击手段。

 Logical Attacks(逻辑性攻击)

用来扰乱或是探测Web应用逻辑流程的攻击手段。

Open Web Application Security Project(OWASP),该组织致力于发现和解决不安全Web应用 的根本原因。它们最重要的项目之一是“Web应用的十大安全隐患”,总结了目前Web应用最常受到的 十种攻击手段,并且按照攻击发生的概率进行了排序。这个项目的目的是统一业界最关键的Web应用安 全隐患,并且加强企业对Web应用安全的意识。 

Security是上述两个组织的成员,AppScan完全支持以上两个组织的成果和标准。


为您推荐