Téléchargement et déploiement d'un agent IAST Java sur le serveur Web

Vous devez télécharger et déployer un agent IAST sur le serveur Web de l'application testée pour surveiller le trafic envoyé pendant l'exécution et signaler les vulnérabilités découvertes.

Avant de commencer

  • L'application testée doit être installée sur le serveur Web.
  • Vous devez créer une application dans l'onglet Portefeuille de la vue Surveillance dans AppScan Enterprise. Pour plus d'informations sur la création d'une application dans AppScan Enterprise, voir Création d'une application.

Pourquoi et quand exécuter cette tâche

Cette section vous aide à télécharger et à déployer l'agent IAST Java sur le serveur Web de l'application testée.

Procédure

  1. Connectez-vous au serveur AppScan Enterprise Server.
  2. Accédez à la page Surveillance > onglet Portefeuille pour consulter la liste d'applications disponibles.
  3. Cliquez sur l'application dans laquelle vous souhaitez télécharger un agent IAST.
    La page de l'application s'affiche. Pour plus d'informations sur la création d'une application, voir Création d'une application
  4. Sur le panneau de gauche, cliquez sur les agents IAST.
    La page des agents IAST s'affiche dans le panneau de droite.
  5. Cliquez sur Créer un agent.
    La page Mise en route avec IAST s'affiche.
  6. Cliquez sur Créer un agent.
    La page de création d'un agent IAST s'affiche.
  7. Dans la liste déroulante Type d'agent, sélectionnez le langage avec lequel l'application de test a été développée.
    Remarque : La fonction IAST prend en charge les applications basées sur Java, .NET et Node.js.
  8. Dans la zone Nom de l'agent, entrez un nom unique à donner à l'agent que vous créez pour l'application. Le nom de l'agent peut contenir des caractères alphanumériques et spéciaux d'une longueur maximale de 30 caractères.
  9. Cliquez sur Télécharger un agent. Le message Vérifiez votre dossier de téléchargement s'affiche et le fichier AppScanIASTAgent est téléchargé dans le dossier de téléchargement par défaut du système.
  10. Effectuez l'extraction du fichier AppScanIASTAgent dans un dossier.
  11. Vous pouvez déployer l'agent IAST Java à l'aide de l'un des types de fichiers suivants :
    1. Utilisation d'un fichier WAR
    2. Utilisation d'un fichier JAR
    Remarque : Pour un agent IAST Java, les fichiers JAR et WAR ont le même jeton de communication, de sorte que les deux agents communiqueront à la même session IAST. Cela s'avère utile dans les scénarios où certaines applications utilisent WAR et d'autres utilisent JAR.
  12. Si les versions Java de compilation et d'exécution sont 9 ou ultérieures, ajoutez la propriété Java suivante à la commande d'exécution Java : –Djava.lang.invoke.stringConcat=BC_SB

Résultats

L'agent IAST est déployé sur le serveur Web de l'application testée. Vous pouvez désormais afficher tous les problèmes détectés par les agents IAST sur la page de surveillance de l'application.

Déploiement de l'agent IAST Java à l'aide d'un fichier WAR

Procédure

  1. Déployez le fichier Secagent.war sur le serveur Web de l'application testée.
  2. Interagissez avec l'application testée (exécutez des tests fonctionnels, exécutez une analyse dynamique ou explorez l'application manuellement) afin que l'agent IAST surveille les demandes et signale les problèmes de sécurité.
    Remarque : Un examen IAST n'envoie pas ses demandes. Il ne peut découvrir des problèmes que si les demandes sont envoyées vers l'application testée via des tests de système, des explorations manuelles, un examen DAST, etc.
  3. Accédez à la vue de l'onglet de l'application et cliquez sur Tous les problèmes dans le panneau de gauche pour afficher la liste des problèmes liés aux vulnérabilités de sécurité détectées.
    Remarque : Vous pouvez utiliser le filtre Méthode de découverte=IAST pour n'afficher que les problèmes IAST dans l'application.

Déploiement de l'agent IAST Java à l'aide d'un fichier JAR

Procédure

  1. Dans le dossier jar_deployment , localisez le fichier Secagent.jar
  2. Copiez le fichier Secagent.jar dans le répertoire racine de l'application.
  3. Ajoutez l'indicateur suivant à la ligne de commande de votre application : -Djavaagent :<chemin vers secagent.jar>
    Exemple :

    Pour un site Web d'achat :

    
              java -javaagent:secagent.jar -jar ./shopping/target/shopping-0.9.0-SNAPSHOT.jar

Résultats

Au fur et à mesure que vous utilisez ou testez votre application (en effectuant des tests fonctionnels, un examen dynamique ou en explorant l'application manuellement), l'agent IAST surveille les demandes au fur et à mesure de leur envoi et signale les problèmes de sécurité.

Exécuter un agent Java avec le gestionnaire de sécurité

Pourquoi et quand exécuter cette tâche

Vous pouvez exécuter l'agent Java avec le gestionnaire de sécurité :

  • En tant que fichier war sur Tomcat ou
  • Sous forme de fichier jar sur des serveurs autres que Tomcat. Contactez l'équipe de support AppScan pour obtenir des conseils.

Pour exécuter l'agent Java avec le gestionnaire de sécurité en tant que guerre sur Tomcat :

Procédure

  1. Localisez le fichier catalina.policy.
    Le fichier catalina.policy se trouve généralement dans le répertoire de configuration d'installation de Tomcat. Le chemin exact peut varier en fonction de votre système d'exploitation et de la version de Tomcat.
  2. Ouvrez le fichier catalina.policy dans un éditeur de texte.
  3. Localisez le bloc « subvention ».
    Recherchez un bloc commençant par le mot-clé « grant » suivi d'une ou plusieurs instructions « permission ».
  4. Ajoutez les autorisations requises comme suit :
    1. Dans le bloc « accorder », ajoutez l'autorisation suivante : 
      autorisation java.lang.RuntimePermission "net.bytebuddy.*" ;
    2. À la fin du fichier, ajoutez l'autorisation suivante : 
      accorder codeBase "fichier : ${catalina.base} /webapps/Secagent/-"{ permission java.security.AllPermission; } ;
  5. Enregistrez le fichier catalina.policy.
  6. Redémarrez le serveur Tomcat pour appliquer les modifications.