HCL AppScan Enterprise 中文文檔 10.0.1 步驟 4:補救任務
補救過程
在確定風險和劃分漏洞優先級之后,安全團隊可開始補救過程。
以下是基本工作流程:
- 安全經理設置修復的優先級并將修復任務分配給開發團隊。如果被利用的可能性很小,則安全經理可能決定接受某種程度的風險而且不分配某些漏洞進行修復。在某些情況下,監視固定時間段內的情況能是最佳操作過程。
- 開發人員修復優先級最高的漏洞。
- QA 工程師對應用程序新版本運行相應的測試,確認修復已成功,并將數據轉發給安全經理。
除了修復缺陷之外,安全經理還可執行其他操作過程:
- 對開發人員進行有關安全編碼方法的培訓
- 提供解決問題的代碼庫
- 創建測試計劃和腳本以提前檢測開發生命周期中的缺陷
- 在應用程序規范中建立安全編碼的最佳實踐
解決安全問題以及查看修復幫助
AppScan Enterprise 會提醒您有安全漏洞并幫助予以解決。
過程
- 在應用程序中,單擊問題標識以打開“關于該問題”報告對話框,該對話框提供關于所選問題的咨詢、修訂建議和其他豐富信息。請參閱“關于該問題”報告以了解報告所提供的信息。
- 閱讀 Troubleshooting False Positives in AppScan Enterprise。
“關于該問題”報告
關于該問題對話框概括應用程序中的所選問題,并通過該問題的唯一“問題標識”予以標識。它提供有關問題的詳細信息以及供 QA 和 Web 開發者在其修復過程中使用的建議。根據所選問題的類型,并非該主題中討論的所有信息都會出現在用戶界面中。
咨詢
“咨詢”包含以下有關問題的詳細信息:
- 測試類型(應用程序或基礎結構)
- Web 應用程序安全協會 (WASC) 威脅分類
- 組織所面臨的安全風險(最壞用例場景)
- 導致應用程序中存在漏洞的可能原因
- 問題的技術性描述
- 受影響的產品(受此安全問題影響的產品版本,例如 ASP.Net 1.1 Service Pack 1)
- 參考和相關鏈接,包括 CVE、CWE 和 IBM Security X-Force
修訂建議
“修訂建議”為開發者提供特定于某些開發環境的代碼樣本,從而能夠在應用程序源代碼中修訂問題:
- 常規
- .Net
- J2EE
- 建議的 Java? 工具
- 參考資料
Glass Box
常規掃描將應用程序視為“黑匣”,僅分析其輸出而不“深入探查”該應用程序;而 glass box 掃描則在掃描期間使用安裝在應用程序服務器上的代理程序來檢查代碼本身。glass box 掃描具有以下優勢:
- 在“瀏覽”階段,glass box 掃描可暴露那些會影響服務器端但在響應中找不到,并因此僅由黑匣掃描也發現不了的 HTTP 參數。
- 在“測試”階段,glass box 掃描可更準確地驗證特定測試(例如 SQL 盲注入)的成功與否,從而生成更少的“誤報”結果。它還能揭示是否存在無法由黑匣技術檢測出的特定安全性問題。
代碼片段
“代碼片段”提供對 JavaScript 源代碼的靜態分析;發現的問題包括突出顯示了易受攻擊的源代碼的源代碼級別跟蹤信息。代碼中突出顯示且編號的行從源代碼到接收器逐步顯示進入應用程序的不可信數據在以不安全方式使用之前如何進行傳播。
跟蹤
關于已導入的 AppScan? Source 漏洞的跟蹤信息包括:
- 分類:指示發現結果的類型:安全(明確或可疑)或配置。
- 上下文:顯示輸出堆棧中方法的數據流,包括源代碼中出現了問題和上下文的行號。
- 源文件:指示工作空間項目中包含漏洞的源文件。
- 行號:指示代碼中檢測出漏洞的位置。
測試請求和響應
“測試請求和響應”提供有關測試及其特定變體(已發送到 Web 應用程序以發現存在漏洞的位置)的信息。一個測試可能有多個變體。變體與掃描作業發送到 Web 應用程序服務器的原始測試請求稍有不同。最初發送請求是為了合法并遵循應用程序的業務邏輯。然后會發送相同的請求,但加以修改,以發現應用程序如何處理不正確的請求。每個測試請求可能有多個變體,變體的數量需要足夠覆蓋擴展數據庫中的所有安全規則。例如,發送一個測試以檢查您是否強制執行特定參數的用戶輸入規則。一個變體用于檢查單引號不是有效輸入;另一個變體用于檢查不允許使用引號。
注:
- “關于該問題”頁面不顯示已修訂的變體;僅顯示還沒有修訂的變體。
- 在先前版本中,顯示了原始測試流量。從 V9.0.2.1 開始,在 XML 導出中僅顯示并包含測試流量。
從應用程序創建問題作為 Rational Team Concert 中的缺陷或工作項
為應用程序中發現的安全問題在 Rational Team Concert(v5.0.2、6.0、6.0.1、6.0.4 和 6.0.6)中創建缺陷。如果希望用戶從“監視器”視圖中的應用程序提交問題作為缺陷,請勿在“管理”視圖中配置 Rational Team Concert。
關于此任務
注:
- 這集成 與Rational Team Concert 支持基于表單的登錄。
- 此任務使用 REST API 調用 (GET /issues/details_v2) 來生成附件的內容。
- 如果從“掃描”視圖提交缺陷,那么數據不會與“監視器”視圖同步。從“掃描”視圖創建的問題不會在“監視器”視圖上創建外部標識。從“監視器”視圖創建為缺陷的問題不會在“掃描”視圖中的報告上創建缺陷圖標和鏈接。
- 必須在 Rational Team Concert 中具有以下許可權才能創建缺陷:
- 創建工作項
- 修改工作項
- 保存附件
- 描述字段字段列出具有值的所有問題屬性,包括從 XML 導入問題時創建的 IssueXML 問題屬性。
過程
在“監視器”視圖的應用程序中,選擇要提交為缺陷的問題。
單擊列表菜單 > 創建缺陷。
在創建缺陷頁面上,選擇 Rational Team Concert,填寫 URL、用戶名和密碼字段,并單擊連接以測試與 Rational Team Concert 的連接。
注:
- 您可以啟用忽略 SSL 證書/主機名驗證復選框;但是,不建議您這么做。
- 成功連接后,缺陷跟蹤系統 URL、用戶名和 SSL 復選框選中將存儲為您的用戶首選項,并將記住上一個選定缺陷跟蹤系統以用于下一個會話。
創建缺陷頁面上顯示的字段反映 Rational Team Concert 期望從 AppScan? Enterprise 接收的內容。啟用顯示可選字段復選框以編輯其他字段。
注:
以下是 AppScan Enterprise 支持的 Rational Team Concert 中的受支持字段:
- 嚴重性(枚舉列表)
- 嚴重性
- 優先級(枚舉列表)
- 優先級類型
- 持續時間
- 標記
- 介質 HTML
- 小字符串
- 時間戳記
- 迭代
- Contributor
- 整數
- 可交付內容
- 類別
- 大型 HTML
- UUID
- 項目區域
- 小數
- 枚舉
- 枚舉列表
注: “工作項類型”和“項目區域”值顯示為下拉列表,而且不會顯示在可編輯器字段中。
單擊創建。已成功創建的缺陷將在該頁面上列出,并包含指向 Rational Team Concert 中缺陷記錄的鏈接。單擊關閉。
注: 將缺陷提交到 Rational Team Concert 時將創建外部標識。“外部標識”列指示 Rational Team Concert 中的缺陷跟蹤編號。轉至列表菜單 > 列選擇 > 外部標識。將該列移至網格中的“問題”或“狀態”列旁邊,以便您能夠快速地查看已提交哪些問題。單擊列表標題然后使用鍵盤的 Ctrl+(向左或向右箭頭)以將列移至其新目標位置。
在 AppScan Enterprise 中,轉至列表菜單 > 刷新或單擊側邊欄中的刷新圖標來更新問題列表,從而顯示外部標識。
結果
- 如果在 Rational Team Concert 中成功創建了單個缺陷,那么將在“監視器”視圖的頂部看到一條消息(否則,將在“創建缺陷”對話框中顯示創建成功和失敗)。單擊缺陷鏈接可轉至 Rational Team Concert 以了解更多詳細信息。此過程會將 .zip 文件附加到 Rational Team Concert 中的包含了問題相關信息的缺陷記錄。
- .htm (問題概述)
- _details.htm (對于第三方導入問題不可用)。該文件可包含附錄和修訂建議,并僅顯示第一個變體。在 Rational Team Concert 記錄中,還可從相關工件鏈接鏈接回到 AppScan Enterprise 中的問題。
- 您還將在特定問題的“關于此問題”對話框中看到 External ID 屬性。
在 JIRA 缺陷跟蹤系統中創建問題作為缺陷
選擇問題并將其作為缺陷提交到 Atlassian Pty Limited JIRA 以進行進一步跟蹤。
開始之前
此任務使用 REST API 調用 (GET /issues/details_v2) 來生成附件的內容。
請確保 JIRA 設置為接受附件。
在 JIRA 中,轉至設置 > 系統頁面。
注: 您必須具有管理員特權才能完成此步驟。
從菜單中,選擇高級 > 附件。
編輯設置,以便Allow Attachments設置為“開啟”。
Microsoft? Internet Explorer v8/9 不支持 JIRA 集成。請考慮升級您的瀏覽器版本,或替換為 Firefox。
將缺陷提交到 JIRA 時將創建外部標識。“外部標識”指示已提交問題的項目區域,因此您可以確定是否需要將這些問題提交到其他項目區域。轉至列表菜單 > 列選擇 > 外部標識。將該列移至網格中的“問題”或“狀態”列旁邊,以便您能夠快速地查看已提交哪些問題。單擊列表標題然后使用鍵盤的 Ctrl+(向左或向右箭頭)以將列移至其新目標位置。
Perforce 作業字段不受 AppScan? Enterprise 支持。
標準 JIRA 字段可定制,但缺陷提交過程中自動添加的鏈接和附件除外。
將多個缺陷提交到 JIRA 時,無法更改描述和摘要字段。
注: “描述”列出具有值的所有問題屬性,包括從 XML 導入問題時創建的 IssueXML 問題屬性。
關于此任務
以下是說明了基本工作流的樣本 Java? 腳本:SampleJava.zip。此樣本中存在一些可能需要您更新的行:
- private static String ASE_SCHEME = “https”;
- private static String ASE_HOST = “localhost”;
- private static int ASE_PORT = 9443;
- private static String ASE_CONTEXT_ROOT = “/ase”;
- private static String ASE_USER = “username”;
- private static String ASE_PASS = “password”;
- private static String ASE_FEATURE_KEY = “AppScanEnterpriseUser”;
- private static String DTSWEB_CONTEXT_ROOT = “/dtsweb”;
- private static String JIRA_URL = “http://localhost:8080/";
- private static String JIRA_PROJECT_ID = “DEMO”;
- private static String JIRA_USERNAME = “username”;
- private static String JIRA_PASSWORD = “password”;
- private static String JIRA_DEFECT_TYPE = “3”;
- private static int MAX_NUMBER_OF_APPLICATIONS_OR_ISSUES = 10000;
注: 要禁用證書驗證,請從以下行中移除注釋:disableCertificateValidation();.
過程
在“監視器”視圖的應用程序中,選擇要提交為缺陷的問題。
單擊列表菜單 > 創建缺陷。
在創建缺陷頁面上,選擇 JIRA,填寫 URL、用戶名和密碼字段,并單擊連接以測試與 JIRA 的連接。
注:
- 您可以啟用忽略 SSL 證書/主機名驗證復選框;但是,不建議您這么做。
成功連接后,缺陷跟蹤系統 URL、用戶名和 SSL 復選框選中將存儲為您的用戶首選項,并將記住上一個選定缺陷跟蹤系統以用于下一個會話。
創建缺陷頁面上顯示的字段反映 JIRA 期望從 AppScan Enterprise 接收的內容。啟用顯示可選字段復選框以編輯其他字段。
選擇項目區域和類型,并單擊創建。已成功創建的缺陷將在該頁面上列出,并包含指向 JIRA 中缺陷記錄的鏈接。單擊關閉。
在 AppScan Enterprise 中,轉至列表菜單 > 刷新或單擊側邊欄中的刷新圖標來更新問題列表,從而顯示外部標識。
結果
- 如果在 JIRA 中成功創建了單個缺陷,那么將在“監視器”視圖的頂部看到一條消息(否則,將在“創建缺陷”對話框中顯示創建成功和失敗)。單擊缺陷鏈接可轉至 JIRA 以了解更多詳細信息。此過程會將 .zip 文件附加到 JIRA 中的包含了問題相關信息的缺陷記錄。
- .htm (問題概述)
- _details.htm (對于第三方導入問題不可用)。該文件可包含附錄和修訂建議,并僅顯示第一個變體。您還可以從 JIRA 記錄中鏈接回 AppScan Enterprise 中的問題標識。
- 您還將在特定問題的“關于此問題”對話框中看到 External ID 屬性。
- 如果在“管理”視圖中啟用了日志記錄,那么可在 \Liberty\usr\servers\ase\logs\console.log 中找到 JIRA 缺陷創建和錯誤消息。
推薦文章: