全国咨询热线:136-9172-9932
由于开发和设计的原因,可能导致 Web 系统存在漏洞,在测试过程中可以使用一些自动化扫 描工具对 Web 系统的漏洞进行扫描。但自动化扫描工具只能检测到部分常见的漏洞(如跨站脚本、 SQL 注入等),不是针对用户代码的,也不能扫描业务逻辑,无法对这些漏洞做进一步业务上的判 断。而往往最严重的安全问题并不是常见的漏洞,而是通过这些漏洞针对业务逻辑和应用的攻击。 Web 目前分为 Application 和 Web Service 两部分。Application 指通常意义上的 Web 应用;而 Web Service 是一种面向服务的架构技术,通过标准的 Web 协议(如 HTTP、XML、SOAP、WSDL) 提供服务。
现在市场上 Web 漏洞扫描的工具比较多,如 WebInspect、N-Stalker、Acunetix Web Vulnerability Scanner、Rational AppScan 等。下面简单介绍 Rational AppScan 工具的使用。 Rational AppScan 是专门面向 Web 应用安全检测的自动化工具,是对 Web 应用和 Web Service 进行自动化安全扫描的黑盒工具。它不但可以简化企业发现和修复 Web 应用安全隐患的过程(这 些工作以往都是由人工进行,成本相对较高,效率低下),还可以根据发现的安全隐患,提出针对 性的修复建议,并能形成多种符合法规、行业标准的报告,方便相关人员全面了解企业应用的安全 状况。 应用程序开发团队在项目交付前,可以利用 Rational AppScan 对所开发的应用程序与服务进行 安全缺陷的扫描,自动化检测 Web 应用的安全漏洞,从网站开发的起始阶段就扫除 Web 应用安全 漏洞。
