快速业务通道

高效率创建安全的Java应用, 第2部分 - 编程入门网

作者 佚名技术 来源 NET编程 浏览 发布时间 2012-06-13
些内容有可能正式问题所在。这种影响是巨大的,即使是 Web 应用程序代码中最细微的缺陷(例如输入框中的合法性),也会导致业务上的致命缺陷,并由此产生经济上和客户信誉度的重大损失。

黑客攻击 Web 应用程序代码的典型后果就是使得攻击者跳过登录系统,盗取用户网络会话,直接查询、访问和操纵后台数据库。

针对 Web 应用程序的缺陷发起攻击的风险是现实存在的,特别是当应用程序的数据同高价值的业务相关联的时候(例如:支付卡信息),即使是敏感的个人数据也是具有出售价值的。由于数据被破坏,导致法定的、调节的和工业的标准需要征收大量的罚金。请您牢记,一旦将 Web 应用程序放到因特网上,那么任何人就都有能力对其进行访问,这其中当然包括那些可恶的黑客。这些黑客有足够多的时间发现和探索 Web 应用程序代码中的缺陷和弱点。考虑到本教程中所创建的 Web 应用程序具有一个财务主题和敏感的信息,所以在将其发布之前确保 Wealth Web 应用程序没有缺陷是一件十分重要的事情。

考虑到这一背景以及日益增加的数据安全性要求,开发一个没有安全缺陷的 Web 应用程序是一个非常关键的需求和基本目标。在这个教程中,您将使用 IBM 的 Rational AppScan 确保第 1 部分中所创建的 Wealth Java Web 应用程序远离安全性缺陷,确保 Web 应用程序足够安全地被放置在因特网上面。

高效率创建安全的Java应用, 第2部分(2)

时间:2012-01-14 IBM David Whitelegg

Rational AppScan 概述

IBM 的 Rational AppScan 是一款针对 Web 应用程序缺陷测试的安全性套件。使用 Rational AppScan 能够帮助您确保任何被开发出来的 Web 应用程序可以被安全地放到因特网中。Rational AppScan 是一款功能强大而且可以定制的扫描工具,不仅被用于开发和测试过程,而且经常被用于渗透测试,甚至是质量保证团队和业务管理。

Rational AppScan 的首要功能就是扫描和测试 Web 应用程序的缺陷,它能够捕获到成千上万个安全问题,例如:SQL 注入、跨站点脚本(XSS)以及缓冲区溢出等。Rational AppScan 中的安全性测试还可以定期升级;新的测试和更新被添加到 Rational AppScan 的测试文件夹中,作为新被发现的 Web 应用程序缺陷。

Rational AppScan 的报告和许可

Rational AppScan 具有内嵌的报告功能,它可以将扫描结果以 Adobe PDF 文件的方式生成出来。这些报告在 Rational AppScan 中都是可以定制的。请您参见 下载部分查看本文中所生成的所有报告。Rational AppScan 自带了大量的预先定义的报告格式,它们能够满足绝大多数的国际标准和工业需求。其中包括:支付卡行业数据安全标准(PCI DSS)、SOX、HIPPA、OWASP Top Ten、WASC Threat Classification、ISO 17799/27001 以及 SANS Top Ten 等。

在购买 Rational AppScan 之前,您需要花一定的时间考虑您打算如何在环境中部署和使用 Rational AppScan。您应当对 Rational AppScan 的许可证许可系统和两种典型的部署方法有一个很好的理解。Rational AppScan 被安装和绑定在一台特定的机器上,但是这台机器(以及 AppScan)能够被多个用户使用。应用程序许可证将 Rational AppScan 同机器的 MAC 地址(网卡地址)和硬盘序列号绑定在一起。所以,在部署 Rational AppScan 之前,请您花时间考虑并且决定采用哪种安装策略是最佳的。

第一个典型的选项就是在一台中心“测试”服务器上安装 Rational AppScan,这样做能够很好的管理和控制应用程序的使用。这种策略类型适用于在单一的测试环境中使用 Rational AppScan。

笔记本电脑的安装

将 Rational AppScan 安装到一台笔记本电脑上较之安装到一台服务器上具有更大的灵活性。如果您计划在不同网络的多个测试环境中使用 Rational App

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号