ibm rational appscan在我的---一篇文章中, 我介绍了我作为 ibm 合作伙伴的解决方案---的角色, 以及我们在合作伙伴中推出了多少激动人心的解决方案。 今天, 我将简要介绍我们的xin版本之一, ibm rational appscan 分析器。
appscan理性 softwareibm 的理性 appscan 实现了xin的扫描技术来测试您的 web 应用程序的漏洞。 我已经运行这个扫描仪多次, 其扫描的复杂性和---是令人难以置信的。 有类似3万测试, 它可以运行在全nian模式, 寻找对网站的所有类型的攻击。 当启动一个新的应用程序或---您在现有网站上的安全, 像合理的 appscan 投资可能会节省您的整个组织的痛苦和费用的---数额。
那么, appscan 是如何工作的呢?你只要把它指向你的网站就可以了。在近的一次测试中, 我测试了一个电子商务网站样本 (设计有缺陷), 发现了超过129问题, 其中37是关键的漏洞, 如 sql 注入和跨站点---。 appscan 的美丽之处在于, 你只看到了攻击发生的确切位置, 如何重复它, 如何减轻它。 这是一个---的工具, 你一定要检查出的审判。
扫描完成后, 下一步就是解决问题。 在上面的示例中, 37 漏洞可能需要数天或数周才能解决。这甚至没有解决四打其他的中低优先级问题。 那么你如何帮助加快这一速度呢? 这是大 ip asm 进入图片的地方。 在11.1 版中,appscan---代理, 我们的 ibm appscan 集成允许您从 appscan 导出您的报告, 将它们导入到 asm 中, 并立即对关键问题进行补救。 在我的测试中, 我能够在37关键的漏洞中进行21的补救, 只剩下一小部分由开发人员来处理。
检测和开发跨站点
使用 xss 分析器编写---
ibm 近进行的研究表明, 41% 的
测试的 web 应用程序包含 xss 漏洞. 1 xss
已知的漏洞类型已超过十年。
尽管如此, 它仍然是第二 owasp ---网站
应用程序漏洞列表。
ibm 安全 appscan 标准软件现在包括
具有检测和利用 xss 漏洞的---能力。xss
分析器提供了一些xian进的技术
对于 xss 测试, 从知识库中提取数百个
数以百万计的剥削。分析仪---降低了
通过应用模拟的智能学习系统来扫描时间
准确有效地发现威胁的人类行为。与
xss 分析仪, ibm 安全 appscan 标准软件能够
快速查找和修复此重要漏洞。
执行动态分析
玻璃盒测试
ibm 安全 appscan 标准软件提供玻璃盒测试,
这是一种集成的应用程序安全测试的形式
(上)。玻璃盒安全测试是xin的发展
混合分析, 结合动态 (黑箱) 分析
使用监视的内部代理模拟安全攻击
攻击期间的应用程序行为。通过玻璃盒测试,
ibm 安全 appscan 标准软件提供更准确
测试结果并确定传统的漏洞
动态测试无法识别。通过---的组合
安全研究和玻璃盒测试, 软件
提供 owasp ---漏洞的全mian覆盖,appscan, 并
可以识别 non-reflected 的漏洞, 如命令
执行, sql 注入, 文件包含, 轻量级目录
接入协议注入, 日志锻造等。
玻璃盒测试还有助于安全团队协作
提供精que信息的开发组织
关于漏洞。通过玻璃盒测试, ibm 安全
appscan 标准软件标识特定代码行和
提供有关应用程序在攻击过程中的执行方式的详细信息,
这有助于促进补救。因此, ---
开发商在他们的早期部署玻璃盒测试
一个新的精que测试水平的开发周期不
可与传统的动态或静态分析。
执行混合分析
javasc ript 安全分析器
在当今丰富的互联网上采用 web 2.0 技术
应用程序将 javasc ript 的角色扩展为技术, 如
作为 ajax, javasc ript 框架和 html5 变得
共同.大多数 web 应用程序都大量使用---
javasc ript 代码, 这增加了有---的可能性
漏洞.ibm 近进行的研究表明
大约40% 的 web 应用程序
测试了---的---漏洞, 需要
手动代码检查, 以便通过渗透检测
测试仪2
为了应对这些新的风险, ibm 安全 appscan 标准
软件包括静态污点的 javasc ript 安全分析器
分析 javasc ript 代码。javasc ript 安全分析器检测
一系列---安全问题,appscan功能介绍, 例如文档对象
基于模块 (dom) 的 xss, ---打开重定向, ---
sql 注入和许多其他 html5-related 安全性
问题.此外, ibm 安全 appscan 软件是
第yi个应用动态和静态应用程序安全性的扫描仪
在同一扫描中进行混合分析测试。
ibm rational appscan
appscan 源
标志 ibm appscan 300x
识别并修复 web 和移动应用程序中的漏洞
appscan 源通过在软件开发生命周期的早期识别基于 web 和移动应用源代码的漏洞, 帮助组织降低成本和降低风险, 因此可以在部署之前修复它们。
appscan 源将应用程序安全测试集成到您的软件开发生命周期中。它提供了增强的移动应用程序扫描功能, 并支持对移动 web、本地和混合应用程序的测试, 其中包括对 javasc ript、html5、科尔多瓦、java 和目标 c 的支持。appscan 源还提供了与 ibm worklight?工作室的集成以及扫描 worklight 应用程序的能力。
appscan 源可以启用:
通过源代码分析/静态应用程序安全测试 (先),appscan技术支持, ---大和更 cost-effective 的软件安全性。
通过集成现有的工具和过程 (如应用程序开发、构建集成和安全监视), 改进了智能。
通过集中管理和执行安全策略来实施安全jia做法。
报告、治理和法规遵从性的能力, 有助于安全状态和问题的沟通。
---大和更 cost-effective 的软件安全性
在应用程序生命周期的早期阶段, 当它们不需要进行补救时, 识别源代码中的安全漏洞和缺陷。
通过将安全源代码分析与生成过程中的自动扫描集成, 将自动化的安全性构建到开发中。
扫描、triages 和管理安全策略;将结果指派给安全小组以进行漏洞补救。
每小时提供超过100万行代码的快速扫描;甚至扫描复杂的企业应用程序。
将安全性分析扩展到 android 和苹果 ios 移动应用程序。
通过集成提高了智能
集成缺陷---系统 (dts)、软件配置管理和构建管理工具。
通过静态分析结果与动态分析结果的相关性, 提供了增强的安全智能。
适用于多种语言的大型和复杂应用程序的广泛组合。
建立在开放式体系结构上, 以保护您现有的投资。
安全jia做法
定义和实施可在整个企业中使用的一致策略。
使用集中的策略和评估数据库启用企业范围的度量和报告。
提供审核和法规遵从性报告, 使您更容易了解在执行层的与应用程序相关的威胁暴露。
报告、治理和法规遵从性的能力
提供识别安全问题所带来的安全和法规遵从性风险。
提供超过40安全法规遵从性报告, 包括 pci 数据安全标准 (pci dss)、支付应用数据安全标准 (pa-dss)、iso 27001 和 iso 27002、hipaa、gramm–leach–bliley act (glba) 和巴塞尔 ii。
重点关注移动应用程序安全, 包括一个开放式 web 应用程序安全项目 (owasp) ---移动风险报告。
支持创建自定义报告, 以与您的组织的安全jia做法保持一致。
华克斯(图)-appscan技术支持-appscan由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是从事“loadrunner,fortify,源代码审计,源代码扫描”的企业,公司秉承“诚信经营,用心服务”的理念,为您提供高的产品和服务。欢迎来电咨询!联系人:华克斯。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713.zhaoshang100.com/zhaoshang/220549737.html
关键词: loadrunner - qtp - hp qc/alm - fortifysca - fireeye
滇公网安备 53011202000392号