<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    HCL AppScan Enterprise 中文文檔 10.0.1
    展開或關閉
    概述
    概述 應用程序安全管理 AppScan Enterprise 組件 隨 AppScan Enterprise 一起提供的 AppScan Standard 組件 應用程序安全管理入門(鏈接未重置) HCL AppScan? Enterprise 中的新增功能(外部英文文檔) 支持的技術 已知問題和變通方法 不推薦的功能 良好安全實踐聲明
    安裝
    規劃部署和安裝 安裝需求(需要二級目錄) 安裝拓撲示例 安裝前任務 安裝任務 安裝任務—— 在一臺計算機上安裝所有必需組件 安裝任務——在多機器環境中安裝必需的組件 安裝任務——在 Linux for AppScan Source 上安裝用戶組件 安裝后任務 安裝后任務—— 在 SQL Server Enterprise Edition 上啟用 TDE 安裝后任務—— 對 FIPS 140-2 和 NIST SP800-131a 安全標準的支持 安裝后任務——以通用訪問卡 (CAC) 進行認證 高級安裝場景
    升級和遷移
    您從先前版本升級時的產品更改 修訂包安裝 將 Jazz Team Server 替換為 WebSphere Liberty - 常見問題 在 AppScan Enterprise 中將 Jazz Team Server 用戶遷移到 Liberty 升級到最新版本的 AppScan Enterprise 為 AppScan Enterprise 配置 SQL Server 數據庫 使用 Liberty 證書庫中的證書 升級 AppScan Source LDAP 與 Oracle 數據庫的連接 在 WebSphere Liberty 概要文件上啟用 FIPS 140-2 或 NIST SP800-131a
    集成
    與 IBM Security SiteProtector 集成 與 IBM Security QRadar 集成 與 QA 自動化系統集成 與缺陷跟蹤系統集成
    最佳實踐
    針對內容掃描的最佳做法 常見問題 關于在生產環境中運行安全掃描的最佳做法 針對性能的最佳做法 了解測試優化
    配置期間
    配置用戶設置 配置 Enterprise Console 配置日志保留期限屬性
    管理
    配置和下載 Enterprise Console 和 AppScan Server 的日志文件 在AppScan Enterprise中更新服務帳戶密碼 監視 AppScan Enterprise 使用情況 管理服務器 管理掃描隊列 更新安全規則 從 AppScan Standard 導入用戶定義的測試 維護 SQL Server 數據庫 準備安全測試 準備安全測試——創建和導入安全測試策略 創建掃描模板
    管理應用程序風險
    用于管理應用程序安全的工作流程示例 步驟1:創建應用程序清單 應用程序屬性 創建應用程序概要信息模板 創建應用程序 導入和導出應用程序的清單列表 從應用程序創建掃描 將掃描與應用程序關聯 步驟 5:度量進度并獲得合規性證明——度量進度 應用程序的用戶訪問控制 步驟 2:測試應用程序以查找漏洞——從第三方掃描程序導入問題 步驟 2:測試應用程序以查找漏洞——創建第三方掃描程序 第三方掃描程序導入問題 v9.0.2 和更高版本和先前版本中的掃描配置差異概述 從模板創建掃描 編輯掃描 使用 AppScan Standard 中的掃描屬性創建 QuickScan 模板 從 AppScan Standard 上載高級掃描 運行和調度作業 在兩個 Enterprise Console 之間復制掃描 步驟 3:確定風險和劃分漏洞優先級 確定風險——公式組成部分 確定風險——函數示例 確定風險——內置公式 確定風險——定制風險分級公式 確定風險——創建具有公式的屬性 確定風險——確定問題嚴重性 對應用程序中的安全問題列表進行過濾 步驟 4:補救任務 獲得合規性證明
    故障診斷和技術支持
    對問題進行故障診斷 模板:聯系 HCL 支持人員 Dynamic Analysis Scanner 故障診斷——作業故障診斷 Dynamic Analysis Scanner 故障診斷——對手動探索進行故障診斷 Dynamic Analysis Scanner 故障診斷——對會話中檢測進行故障診斷 Dynamic Analysis Scanner 故障診斷——對安全測試策略進行故障診斷 Enterprise Server 故障診斷
    參考
    配置向導 文件夾資源管理器 在文件夾資源管理器中創建掃描——使用 AppScan Enterprise 中的掃描屬性創建 QuickScan 模板 使用 AppScan Enterprise 中的掃描屬性配置安全掃描 安全掃描的工作方式 安全測試的工作流程 文件夾資源管理器——JavaScript 源代碼分析的工作方式 文件夾資源管理器—— 通過高級配置選項優化掃描 文件資源管理器中創建掃描——連接Web服務器 靜態分析數據與動態的相關工作——混合分析示例 靜態分析數據與動態的相關工作——測試web服務是否存在安全漏洞 文件夾資源管理器中創建掃描——捕獲并導入流量數據 從 AppScan Standard 導入基于操作的登錄文件 從報告包中過濾報告數據 組織報告和儀表板結果以供分析——將報告數據分組 管理報告中的問題 導出脫機分析的數據 將靜態分析數據與動態分析數據相關
    REST API
    掃描管理 REST API(舊) 掃描管理 REST API——服務 掃描管理REST API ——服務——運行掃描 掃描管理REST API ——服務——獲取報告結果 AppScan Enterprise REST API AppScan Enterprise REST API 示例 缺陷跟蹤系統集成 REST API

    與 QA 自動化系統集成

    HCL AppScan Enterprise 中文文檔 10.0.1 /

    與 Rational Quality Manager 集成

    用于將 AppScan Enterprise 與 Rational Quality Manager 集成的舊適配器已替換為一組新的 REST API,這些 API 旨在將“動態分析安全測試”作為 QA 自動化過程的一部分實施。

    以下是某些資源:

    • 使用 Manual Explorer 工具記錄 QA 自動化測試腳本。
    • 參閱“擴展產品功能”這一章節中以下子節中的主題:
      • 掃描管理 REST API
      • 應用程序安全管理 REST API

    使用 Manual Explorer 工具記錄 QA 自動化測試腳本

    在 Web 應用程序的 QA 測試環境中,通常通過在分布式服務器上使用多個瀏覽器實例來運行數千個瀏覽器交互自動測試用例。使用 AppScan? Manual Explore Server,您可以記錄這些用于安全測試的自動任務所生成的流量。

    關于此任務

    此過程幫助您使用由用于功能測試的腳本所生成的 HTTP 流量,從而免去為記錄 AppScan 腳本而需完成的額外工作。您可以在組織內設置任意所需數量的 Manual Explore Server,然后使用 REST API 來自動記錄從測試用例流向測試服務器的數據,并自動將這些數據作為 .htd 文件發送到 AppScan Enterprise 以配置為掃描。在本場景中,您下載 Manual Explorer 工具,并使用命令行界面來設置 Manual Explore Server。

    注:

    1. *.htd 文件的最大文件大小是 20 MB。如果您已超過了此限制,請通過記錄更小的序列以將文件拆分為更小的區塊。
    2. 為了方便起見,以下腳本可供您用來自動捕獲 HTTP 流量并自動創建可使用所捕獲的 HTTP 流量的掃描作業:recordTraffic.zip。

    過程

    1. 下載 Manual Explorer 工具并設置 Manual Explore Server:

      1. 在作業的“掃描內容”頁面的“手動探索”部分中,單擊添加圖標(添加)。

      2. 在“手動探索”頁面上,選擇使用 Manual Explorer 工具或 AppScan Standard 探索數據文件。

      3. 下載并安裝該工具。

        通常安裝在 \HCL\AppScan Manual Explorer。

      4. 在服務器上運行命令行提示,將目錄更改為 \HCL\AppScan Manual Explorer,然后輸入:manualexploreserver.exe -host <host_name_ip> -recordingsDir <recordings_dir>

        提示: 使用 -help 標志可查看所有可用的命令行選項。

    2. 在您選擇的端口上開始記錄會話:

      1. 在瀏覽器中的,轉到 http://:9999/start?port=。記錄端口號是記錄的標識。
        注: 確保發出控制命令的瀏覽器未使用 Manual Explorer Server 作為代理;否則,控制命令將添加到記錄。

      2. 將自動化或用于回放的瀏覽器設置為使用 : 作為代理。

      3. 運行包含您的 QA 測試用例的自動化。

      注: 在自動化過程中,您可以配置步驟 a 和 b。

    3. 要停止記錄會話,請執行以下操作:

      1. 在自動測試用例完成后,通過在瀏覽器中輸入以下 URL 來停止 Manual Explorer 記錄:http://:9999/stop?port=&fileName=. 如果指定 fileName 參數,那么記錄期間所收集的數據將以 HTD 格式保存。文件路徑為 <recordingDataFile>.htd。如果您不使用文件名,那么記錄將在不保存文件的情況下停止。
      2. 如果您完成了流量數據的捕獲,請輸入 quit 以結束此過程。

    4. 在 AppScan Enterprise 中,請確保

      1. 設置電子郵件通知。確保配置電子郵件的 SMTP 服務器。,確保已將個人電子郵件通知設置為接收警報。
      2. 創建掃描以僅測試“手動探索”模板(在“探索選項”頁面上)中的指定 URL。
      3. 為由自動腳本生成的報告包的“安全問題”報告設置警報
      4. 從 URL 記下剛創建的作業的 folderID。例如:https:///ase/FolderExplorer.aspx?fid=8)

    5. ASECMD 實用程序存儲在用于存儲 ManualExploreServer 命令行的同一文件夾中。通過此實用程序,可以輕松構建一個使用步驟 4 中所創建模板將記錄的流量文件發布到 AppScan Enterprise 的命令。掃描將創建在您在步驟 4 中創建掃描作業的文件夾中。

      1. 打開命令行提示符并瀏覽至 AppScan Manual Explorer 工具所在的文件夾。

      2. 鍵入此命令以創建掃描: ASECMD -aseUrl https:///ase/ -jobTemplateId 1 -htdFile \qaserver\recordings\rec1.htd

        注: 如果不指定用戶名和密碼,那么命令行實用程序將使用當前用戶帳戶進行認證。

    6. *可選: *要查看 ASECMD 實用程序的可用命令行提示,打開命令行提示,并調用 asecmd.exe。窗口中將顯示使用情況詳細信息。

    7. 在 AppScan Enterprise Server 的 Enterprise Console 中查看結果。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    安全俠
    Reserved 1.2k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类