目前,企业开发的很多新应用程序都属于Web应用程序的范畴,Web服务也越来越频繁地被用于集成Web应用程序。在企业把业务服务不断搬到互联网上的过程中,Web应用经常会因为缺少对安全方面的考虑而漏洞百出,漏洞的持续存在更是导致了黑客攻击等诸多问题。Web应用漏洞扫描工具的出现提供了一种预防Web应用攻击的有效手段。
随着Web应用程序数量的骤增,越来越多的威胁通过Web应用进入企业网内,如何在病毒没有攻击之前发现并堵住Web应用的漏洞,已成为构筑Web安全的上上策。俗话说,防患于未然。那么,能否设计一种类似网络漏洞扫描工具的产品,预先扫描Web系统,并进行相应的评估和管理呢?最新问世的Watchfire AppScan产品套件就实现了这一近乎理想化的命题。
AppScan专利扫描引擎
Watchfire AppScan是一种有效的企业级Web应用安全测试组件,它可以对所有常见的Web应用漏洞进行扫描和测试,包括那些WASC所分类定义的Web应用威胁,例如SQL注入、跨网站脚本攻击以及缓存溢出等攻击。
AppScan为最新的Web2.0技术、Flash技术和先进的JavaScript技术提供了完善的漏洞扫描功能,并能提供全面的AJAX支持。
AppScan的专利扫描引擎可以进行Web应用安全审计,并能够从测试安全和标准遵从等多个角度为开发人员提供可操作的修复建议及修复任务报告。它可以与软件产品质量检测平台、开发环境(Jbuilder、Visual Studio和Fortify)的代码扫描工具无缝集成,使得安全测试和修复贯穿整个软件开发流程。
AppScan的设计为安全审计和渗透测试人员提供了一种直观且易于操作的工具。革命性的功能如测试策略管理器、实时扫描日志、扫描权限集中管理、用户自定义测试和定时扫描等为用户提供了更高的透明度和客户化定制能力,使用户能针对其应用所需要扫描的部份进行准确的扫描。
Web应用安全扫描
Watchfire的AppScan称得上是当前业界最快和最完备的专利扫描引擎之一,它支持扫描JavaScript、Flash等复杂的Web应用技术,而这些技术往往导致传统扫描工具漏报及出现错误。用户可以通过任务状态监控来检测自己是否依然在登录状态,并且在需要的时候以用户身份自动登录。
Watchfire采用复杂的身份认证来配合Web应用的多步认证流程。如果AppScan检测到Web应用需要复杂的身份认证,就会暂停扫描并给用户以相应的提示。现阶段,Watchfire支持的身份认证方式包括CAPTCHA认证、逐步认证、多因子认证、一次性口令认证、USB令牌认证、智能卡和相互认证等多种方式。
Watchfire具有广泛的Web应用服务功能,利用AJAX可以有效地加强JavaScript代码的执行能力。JavaScript的执行功能也能够检测到更多的链接,甚至包括在AJAX应用中XML HTTP请求生成的链接。而特征搜索规则功能能够实现在原响应中字符串和正则表达式的搜索。例如,该功能可以对信用卡或社会安全号进行安全测试。
Watchfire的实时查看结果功能允许用户在扫描完成之前,查看扫描出来的漏洞并采取相应措施,该功能对大规模的扫描以及审计员和渗透测试人员在有限时间内完成应用测试非常有用。此外,Watchfire提供的增强型问题查看功能提供了对问题显示的强大控制手段,用户可以方便地改变字体的大小,也可以在“Word Wrap”模式和正常模式之间灵活地选择。
报告和修复建议
AppScan增量分析报告可以为用户提供从本次扫描到下次扫描发生的变化。该报告包括从上次扫描至今已修复和未修复的漏洞列表及安全问题。在测试时,AppScan会把确认导致漏洞的HTML代码高亮显示。漏洞的原因会用自然语言方式提供给用户,并详细解释相应的测试逻辑和出现问题的原因。
Watchfire还能够提供可定制的报告,为管理层、开发人员、系统管理员和安全专家提供定制的内容和形式。所生成的报告均为业界标准报告,包括OWASP、SANS和WASC标准。同时,Watchfire遵从业界最广泛的标准报告方案,可以生成34种常规遵从模板和报告。其报告能够显示整个应用或指定目录所需的修复任务,便于把需要修复的相关信息分发给应用开发人员和系统管理员。
