<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    HCL AppScan Enterprise 中文文檔 10.0.1
    展開或關閉
    概述
    概述 應用程序安全管理 AppScan Enterprise 組件 隨 AppScan Enterprise 一起提供的 AppScan Standard 組件 應用程序安全管理入門(鏈接未重置) HCL AppScan? Enterprise 中的新增功能(外部英文文檔) 支持的技術 已知問題和變通方法 不推薦的功能 良好安全實踐聲明
    安裝
    規劃部署和安裝 安裝需求(需要二級目錄) 安裝拓撲示例 安裝前任務 安裝任務 安裝任務—— 在一臺計算機上安裝所有必需組件 安裝任務——在多機器環境中安裝必需的組件 安裝任務——在 Linux for AppScan Source 上安裝用戶組件 安裝后任務 安裝后任務—— 在 SQL Server Enterprise Edition 上啟用 TDE 安裝后任務—— 對 FIPS 140-2 和 NIST SP800-131a 安全標準的支持 安裝后任務——以通用訪問卡 (CAC) 進行認證 高級安裝場景
    升級和遷移
    您從先前版本升級時的產品更改 修訂包安裝 將 Jazz Team Server 替換為 WebSphere Liberty - 常見問題 在 AppScan Enterprise 中將 Jazz Team Server 用戶遷移到 Liberty 升級到最新版本的 AppScan Enterprise 為 AppScan Enterprise 配置 SQL Server 數據庫 使用 Liberty 證書庫中的證書 升級 AppScan Source LDAP 與 Oracle 數據庫的連接 在 WebSphere Liberty 概要文件上啟用 FIPS 140-2 或 NIST SP800-131a
    集成
    與 IBM Security SiteProtector 集成 與 IBM Security QRadar 集成 與 QA 自動化系統集成 與缺陷跟蹤系統集成
    最佳實踐
    針對內容掃描的最佳做法 常見問題 關于在生產環境中運行安全掃描的最佳做法 針對性能的最佳做法 了解測試優化
    配置期間
    配置用戶設置 配置 Enterprise Console 配置日志保留期限屬性
    管理
    配置和下載 Enterprise Console 和 AppScan Server 的日志文件 在AppScan Enterprise中更新服務帳戶密碼 監視 AppScan Enterprise 使用情況 管理服務器 管理掃描隊列 更新安全規則 從 AppScan Standard 導入用戶定義的測試 維護 SQL Server 數據庫 準備安全測試 準備安全測試——創建和導入安全測試策略 創建掃描模板
    管理應用程序風險
    用于管理應用程序安全的工作流程示例 步驟1:創建應用程序清單 應用程序屬性 創建應用程序概要信息模板 創建應用程序 導入和導出應用程序的清單列表 從應用程序創建掃描 將掃描與應用程序關聯 步驟 5:度量進度并獲得合規性證明——度量進度 應用程序的用戶訪問控制 步驟 2:測試應用程序以查找漏洞——從第三方掃描程序導入問題 步驟 2:測試應用程序以查找漏洞——創建第三方掃描程序 第三方掃描程序導入問題 v9.0.2 和更高版本和先前版本中的掃描配置差異概述 從模板創建掃描 編輯掃描 使用 AppScan Standard 中的掃描屬性創建 QuickScan 模板 從 AppScan Standard 上載高級掃描 運行和調度作業 在兩個 Enterprise Console 之間復制掃描 步驟 3:確定風險和劃分漏洞優先級 確定風險——公式組成部分 確定風險——函數示例 確定風險——內置公式 確定風險——定制風險分級公式 確定風險——創建具有公式的屬性 確定風險——確定問題嚴重性 對應用程序中的安全問題列表進行過濾 步驟 4:補救任務 獲得合規性證明
    故障診斷和技術支持
    對問題進行故障診斷 模板:聯系 HCL 支持人員 Dynamic Analysis Scanner 故障診斷——作業故障診斷 Dynamic Analysis Scanner 故障診斷——對手動探索進行故障診斷 Dynamic Analysis Scanner 故障診斷——對會話中檢測進行故障診斷 Dynamic Analysis Scanner 故障診斷——對安全測試策略進行故障診斷 Enterprise Server 故障診斷
    參考
    配置向導 文件夾資源管理器 在文件夾資源管理器中創建掃描——使用 AppScan Enterprise 中的掃描屬性創建 QuickScan 模板 使用 AppScan Enterprise 中的掃描屬性配置安全掃描 安全掃描的工作方式 安全測試的工作流程 文件夾資源管理器——JavaScript 源代碼分析的工作方式 文件夾資源管理器—— 通過高級配置選項優化掃描 文件資源管理器中創建掃描——連接Web服務器 靜態分析數據與動態的相關工作——混合分析示例 靜態分析數據與動態的相關工作——測試web服務是否存在安全漏洞 文件夾資源管理器中創建掃描——捕獲并導入流量數據 從 AppScan Standard 導入基于操作的登錄文件 從報告包中過濾報告數據 組織報告和儀表板結果以供分析——將報告數據分組 管理報告中的問題 導出脫機分析的數據 將靜態分析數據與動態分析數據相關
    REST API
    掃描管理 REST API(舊) 掃描管理 REST API——服務 掃描管理REST API ——服務——運行掃描 掃描管理REST API ——服務——獲取報告結果 AppScan Enterprise REST API AppScan Enterprise REST API 示例 缺陷跟蹤系統集成 REST API

    關于在生產環境中運行安全掃描的最佳做法

    HCL AppScan Enterprise 中文文檔 10.0.1 /

    在生產環境中執行安全掃描有風險;但是,掃描生產環境可能有必要,也許是為了符合審計要求,為了檢測站點是否已被黑客入侵,或者為了驗證是否在實施用于集成安全掃描的 SDLC 過程。

    無論出于哪種原因,最好都是開始掃描預生產環境,然后將掃描移至生產環境。這樣做有助于確保降低安全測試對服務器造成的風險。

    Learn more about known security risks when scanning a production site:

    • 最嚴重:掃描可能導致服務器或應用程序崩潰。
    • 不太嚴重:掃描向服務器重復發送相同請求的多種變體 - 大約每個參數 40 種。服務器可能拒絕其中的某些請求,但還有很多會通過并被應用程序處理,這可能導致下列操作:
      • 在數據庫中添加或更改記錄。
      • 完成事務,如采購等應用程序設計執行的事務。
      • 電子郵件泛濫。如果表單向郵寄列表或個人發送電子郵件,那么收件人可能會接收到數百封電子郵件。
      • 站點損壞。如果站點有論壇頁面,掃描可能將多個條目記入該頁面,包括某些帶有跨站點腳本編寫彈出窗口的條目。
      • 站點的完全修改。如果站點允許更改,如利用創建、編輯和刪除按鈕進行的更改,那么將提交正常請求以及許多變體請求。
      • Initiate?對供應商服務的請求。這些請求可能會將服務作為垃圾郵件發送、引導事務,并且潛在的引起開銷。
      • 向 IDS/IPS(侵入式檢測系統/侵入式預防系統)小組報警。測試將觸發帶有數千個簽名的 IDS/IPS。測試并非真正的攻擊,它不是為損害應用程序而設計的。但是 IDS/IPS 小組不知道這一點,并且會做出相應反應。
      • IDS 和 IPS 系統將把測試作為攻擊報告。

    下列最佳做法旨在以最小風險和最大價值將安全掃描實施到生產環境中。

    使用測試用戶帳戶

    使用可以跟蹤的測試帳戶,以確保不會真正訂購服務,因此在它崩潰的情況下可以將其復位。通過測試帳戶,管理員還可以在測試之后更輕松地清理站點。對于測試帳戶,請考慮下列事項:

    • 它應僅對數據庫中的測試記錄具有訪問權限,以便可以恢復修改的記錄。
    • 刪除測試帳戶所創建的新紀錄。
    • 忽略測試帳戶中的訂購單或其他交易。
    • 如果站點包含論壇,則測試帳戶應僅訪問測試論壇,以便真實客戶在測試階段期間不能夠看到測試。例如,看到跨站點腳本編制彈出窗口可能會令人驚恐不已。
    • 如果站點對不同帳戶使用不同的特權,則使用多個測試帳戶。使用多個測試帳戶將確保更全面的應用程序測試。

    實施用戶驗收和性能測試

    在生產中配置應用程序以處理正常的用戶驗收和性能測試之前,切勿在生產中運行安全測試。如果應用程序無法處理這些類型的測試,它將不能夠處理由掃描作業發送的已轉變的請求。

    獲取批準

    不咨詢企業所有者和開發團隊并且未獲取其批準而對任何應用程序進行單方面掃描幾乎總是一個災難。當要執行測試時和預計測試要完成時,記得要提前通知各方。

    確定運行掃描的適當時間

    在不會干擾站點的常規操作窗口的預設時間運行掃描,如整晚。

    不要忽視運行的入侵測試

    缺省情況下不會運行入侵測試,但是它們對于完整的測試非常重要;例如,緩沖區溢出會攜帶互聯網蠕蟲。入侵和非入侵等所有測試都有可能使站點發生故障。

    防止電子郵件泛濫

    識別使用電子郵件通知的頁面并對其進行配置,以將其從掃描中排除。電子郵件通知將生成大量請求,并且可能會使電子郵件服務器超負荷。識別這些頁面比較困難,但是此處有幾種技巧可供使用:

    • 在 QA 中測試頁面并在生產中將其排除。在 QA 中,將電子郵件地址更改為啞郵箱。
    • 在生產中,僅測試一臺 Web 服務器并在測試期間防止其連接到 SMTP 服務器,或者在測試之前用腳本替換電子郵件地址并在測試之后將其復原。
    • 配置掃描以在其中一個電子郵件字段中放置唯一值,以使收件人能夠運行搜索并將其全部清除。使用掃描“自動表單填寫”執行此功能。

    提前開發和測試清除腳本

    執行生產掃描后,使用清除腳本或程序以便移除掃描所創建的測試數據。

    識別會話參數和標記

    識別會使會話失效的會話參數和標記。您通常可從應用程序所有者獲取此信息。在內容掃描作業的“參數和 Cookie”頁面上添加會話參數。

    識別帳戶失效例程

    識別任何帳戶失效例程。掃描應通過將這些例程添加為排除內容來避免它們。

    • 如果可能,關閉帳戶失效以試圖使密碼失效。
    • 如果無法關閉帳戶失效,則使用測試帳戶和密碼單獨掃描各登錄頁面。

    考慮無認證掃描

    使用單獨的掃描作業,掃描應用程序外部無認證即可訪問的頁面。從外部執行掃描會發現更多問題,并且這將幫助您了解對所發現的安全問題具有訪問權限的人員。

    使用交互式掃描識別敏感區域

    創建單獨的作業以處理要求交互的區域,如更改密碼頁面、管理設置頁面或用戶管理頁面。

    禁用 IDS/IPS 系統

    由于 IDS/IPS 系統可能會阻止測試并隱藏本會曝光的問題,因此最好是禁用這些系統或繞開它們進行掃描。最低限度,您應提醒您的 IDS/IPS 團隊。

    不要通過代理掃描

    盡管支持通過代理掃描,但是它可能會隱藏問題。例如,HTTP 代理可能會篡改服務器錯誤響應,由此隱藏安全問題。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    安全俠
    Reserved 1.2k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类