使用Appscan保障Web应用安全性.doc

使用Appscan保障Web应用安全性 编写：梁建增 Appscan简介 IBM Rational AppScan Standard Edition 是一种自动化 Web 应用程序安全性测试引擎，能够连续、自动地审查 Web 应用程序、测试安全性问题，并生成包含修订建议的行动报告，简化补救过程。 IBM Rational AppScan Standard Edition 提供： 核心漏洞支持：包含 WASC 隐患分类中已识别的漏洞——如 SQL 注入、跨站点脚本攻击和缓冲区溢出。 广泛的应用程序覆盖：包含集成 Web 服务扫描和 JavaScript 执行（包括 Ajax）及解析。 自定义和可扩展功能：AppScan eXtension Framework 运行用户社区共享和构建开源插件。 高级补救建议：展示全面的任务清单，用于修订扫描过程中揭示的问题。 面向渗透测试人员的自动化功能：高级测试实用工具和 Pyscan 框架作为手动测试的补充，提供更强大的力量和更高的效率。 法规遵从性报告：40 种开箱即用的遵从性报告，包括 PCI Data Security Standard、ISO 17799 和 ISO 27001 以及 Basel II。 信息系统安全性概述 在进行软件安全性检测之前，首先我们应该具备一定的信息系统安全性的知识，在我们对整体范围的信息系统安全性保障有一定认识的前提下，才能决定我们能更好的保障该环境下的软件应用安全性。 计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。从而我们可以得知计算机信息系统的安全性是一个相当复杂且广的课题，通常情况下，计算机信息系统都是以应用性为主题，以实现不同用户群的相应需求实现。而应用性的实现通常是采用应用软件而达成。典型的计算机信息系统，包括了机房环境，主机设备，网络交换设备，传输通信媒介，软件系统以及其他相关硬软件，而由于当前信息系统网络的连通性，给安全性问题带来了更大的挑战。 在当今的时代，Internet（因特网）已经成为一个非常重要的基础平台，很多企业都将应用架设在该平台上，为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上，都在不断的完善和提高，然而在非常重要的安全性上，却没有得到足够的重视。由于网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击上。根据 Gartner 的最新调查，信息安全攻击有 75% 都是发生在 Web 应用而非网络层面上。同时，数据也显示，三分之二的 Web 站点都相当脆弱，易受攻击。然而现实确是，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证 Web 应用本身的安全，给黑客以可乘之机。 Web安全性测试要点 Web应用安全测试的重要性 由于我们将讲述的重点是AppScan，所以下面我们将主要对WEB应用的安全性在整个信息系统体系中的特点进行介绍。 通常，我们为客户提供的一系列解决方案中，WEB应用是属于自我研发的，该层次的安全性常常处于一种不被认知的状态中。并且由于应用系统的特殊性及针对性，商业化的安全保护产品很难考虑到这些特有的应用功能。所以，我们为客户实现的整个解决方案的信息系统环境中，无论客户采用了多么强大的防火墙，以及多么昂贵的IDS（入侵诊断系统）/IPS（入侵防御系统）等，但都无法防止对看似合法渠道的应用漏洞攻击，因为无论封闭的再怎么严实的信息系统都需要开发一些服务的端口以便能为合法用户提供服务，而攻击者就会通过从这些合法的入口中，寻找隐藏的应用系统漏洞，而通过应用系统漏洞的入侵，是其他安全保障软件以及硬件所难以察觉的，而这类窃取和破坏往往又是难以察觉和致命的。 为什么说一般的安全工具往往很难捕捉应用层次的安全问题呢？ 网络脆弱性扫描工具，由于它仅仅用来分析网络层面的漏洞，不了解应用本身，所以不能彻底提高 Web 应用安全性； 防火墙可以阻止对重要端口的访问，但是提供服务的端口始终要开放，我们无法判断这些服务端口中通讯数据是善意的访问还是恶意的攻击； SSL 可以加密数据，但是它仅仅保护了在传输过程中数据的安全性，并没有保护 Web 应用本身； 阶段性的渗透测试，无法满足处于不断变更之中的应用。 Web 应用安全威胁 Web Application Security Consortium（WASC），是一个由安全专家、行业顾问和诸多组织的代表组成的国际团体。他们负责为 WWW 制定被广为接受的应用安全标准。WASC 组织的关键项目之一是“Web 安全威胁分类”，也就是将 Web 应用所受到的威胁、攻击进行说明并归纳成具有共同特征