高效率创建安全的Java应用, 第2部分 - 编程入门网

点击 Next。

Rational AppScan “策略”是指特定组的 Rational AppScan 测试。 您需要在您的扫描中运行 Web application 测试，所以您需要限制测试执行的数量以适应 Web 应用程序的测试。请您选择 Application-Only 策略，并且点击 Next，如图 18 中所示。

图 18. 选择 Test Policy

高效率创建安全的Java应用, 第2部分(9)

最后，Rational AppScan 询问您是否准备好开始扫描；如果是，请您点击开始全面自动扫描单选按钮，并且点击 Next，如图 19 中所示。

图 19. 先生们，开始行动吧！

您的扫描需要被保存，所以请选择 Yes，如图 20 中所示。

图 20. 在开始扫描前所需要完成的最后一件事情

输入名称 WealthScan （如图 21 中所示），并且点击 Save。

图 21. 输入扫描名称

扫描开始执行。

高效率创建安全的Java应用, 第2部分(10)

扫描执行

扫描的时间依赖于目标 Web 应用程序的复杂性和规模，带宽、处理速度、以及扫描内部的测试方向数量等。您的应用程序相对较小，所以您的扫描只需几分钟的时间即可完成。

当扫描被执行时，第一个 Rational AppScan 决定 Web 应用程序的范围，并且列出将要被扫描的 Web 应用程序文件和 URL。下一个 Rational AppScan 负责根据所选择的策略，对 Web 应用程序的每个部分进行一系列缺陷扫描。

当扫描运行时，选择 View > Scan Log。您可以看到扫描的详细情况。在图 22 中，您可以看到自动用户登录在发挥作用（蓝色加亮），不同的扫描细节和分析被执行，并且测试的失败消息以红色加亮的方式被返回给使用者。

图 22. 始终观察进展情况

在 Rational AppScan 的右下区域，您能找到 Issue Severity Gauge，它负责扫描的实施更新。在此之下是 Web 应用程序内部被发现和被访问的 URL 以及未完成和已完成测试的数量。图 23 中显示了第一次扫描的结果。

图 23. Issue Severity Gauge

扫描完成

扫描结果出来了，坏消息是您的 Wealth Java Web 应用程序存在问题。Rational AppScan 一共返回了18个问题，并且按照安全性级别对其进行分类。也就是说，您有8个高风险的缺陷、3个中等风险的、两个低风险的、以及3个信息相关的问题，所有这些都需要被调查和解决。

不用担心，Rational AppScan 将继续帮助您完成后面的操作。如果您经历过第三方 Web 应用程序的渗透测试，那么您就会知道往往后面的报告会告诉您这里存在一个问题，但是并不解释缺陷到底是什么、如何修正它、或者有关实际测试的任何细节。然而，Rational AppScan 会为您完成所有这些工作。

Rational AppScan 以 “.jsp” 文件的方式显示它所发现的每一个问题，然后根据严重性级别进行归类，如图 24 中所示。

图 24. 扫描结果

高效率创建安全的Java应用, 第2部分(11)

现在我们来理解这些被发现的问题，不用担心，这正是 Rational AppScan 发挥作用的时候。

点击第一个问题，显示为一个 Cross-Site Script（XSS）缺陷。详细信息被显示在屏幕右下方的面板上，如图 25 中所示。我们建议您放大这个面板以便观察。

图 25. 理解一个被发现的安全性问题

建议

在建议一节中，Rational AppScan 详细解释了它所发现的安全性缺陷的类型。在这个例子中，是一个 XSS 缺陷。在顶部是关于这个缺陷及其严重性的一个简要概述，在窗口的左下角是详细的描述文本。在右侧是一个视频解释，这是一个很好的学习帮助。

回到左侧的建议一栏。如果您需要了解进一步的信息，这里有一个指向 WASC （ Web 应用程序安全性集团）的

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!