Java IAST エージェントのダウンロードと Web サーバーへのデプロイ

ランタイム中に送信されるトラフィックを監視し、検出された脆弱性をレポートするには、IAST エージェントをダウンロードしてテスト対象のアプリケーションの Web サーバーにデプロイする必要があります。

始める前に

  • テスト対象アプリケーションを Web サーバーにインストールする必要があります。
  • AppScan Enterprise の「モニター」ビューにある「ポートフォリオ」タブでアプリケーションを作成する必要があります。AppScan Enterprise でのアプリケーションの作成方法について詳しくは、「アプリケーションの作成」を参照してください。

このタスクについて

このセクションでは Java IAST エージェントをダウンロードし、Web サーバーのテスト対象アプリケーションにデプロイする方法について説明しています。

手順

  1. AppScan Enterprise Server にログインします。
  2. 「モニター」 ページ > 「ポートフォリオ」 タブに移動し、使用可能なアプリケーションの一覧を表示します。
  3. IAST エージェントのダウンロード先に指定するアプリケーションをクリックします。
    対象のアプリケーションのページが表示されます。アプリケーションの作成方法について詳しくは、アプリケーションの作成を参照してください。
  4. 左側のペインで「IAST エージェント」をクリックします。
    IAST エージェントのページが右側のペインに表示されます。
  5. 「新規エージェントの作成」をクリックします。
    「IAST の開始」ページが表示されます。
  6. 「新規エージェントの作成」をクリックします。
    IAST エージェントの作成ページが表示されます。
  7. 「エージェントの種類」ドロップダウン・リストから、テスト・アプリケーションの開発に使用する言語を選択します。
    注: IAST の機能は Java、.NET、および Node.js ベースのアプリケーションをサポートしています。
  8. 「エージェント名」ボックスに、対象のアプリケーション用として作成するエージェントの固有名を入力します。エージェント名には英数字と最大 30 文字までの特殊文字を使用できます。
  9. [エージェントのダウンロード]をクリックします。「ダウンロード・フォルダーの確認」メッセージが表示され、 AppScanIASTAgentファイルがシステムのデフォルトのダウンロード・フォルダーにダウンロードされます。
  10. AppScanIASTAgent ファイルをフォルダーに解凍します。
  11. 以下のいずれかのタイプのファイルを使用して、Java IAST エージェントをデプロイできます。
    1. WAR ファイルの使用
    2. JAR ファイルの使用
    注: Java IAST エージェントの場合、JAR ファイルも WAR ファイルも同じ通信トークンを持つので、どちらのエージェントも同じ IAST セッションと通信することになります。これは、WAR を使用するアプリケーションもあれば JAR を使用するアプリケーションもあるというシナリオで役に立ちます。
  12. コンパイル時と実行時の Java のバージョンが両方とも 9 以降である場合は、Java 実行コマンドに Java プロパティ―–Djava.lang.invoke.stringConcat=BC_SBを追加します。

タスクの結果

IAST エージェントはテスト対象アプリケーションの Web サーバー上にデプロイされます。これで、IAST エージェントによって検出されたすべての問題を、対象アプリケーションのモニターのページから確認できます。

WAR ファイルを使用した Java IAST エージェントのデプロイ

手順

  1. テスト対象アプリケーションの Web サーバーに Secagent.war ファイルを配置します。
  2. IAST エージェントのテスト対象アプリケーションと対話 (機能テストの実行、動的スキャンの実行、またはアプリケーションの手動探査) して、要求を監視し、セキュリティー上の問題を報告します。
    注: IAST スキャンはそれ自体の要求を送信しません。システム・テスト、マニュアル探査、または DAST スキャンなどのテストを実行しているアプリケーションに要求が送信された場合にのみ、問題を検出できます。
  3. アプリケーションのタブ・ビューに移動し、左側のペインで「すべての問題」をクリックすると、検出されたセキュリティー上の脆弱性が問題の一覧に表示されます。
    注: フィルターを Discovery Method=IAST に構成すると、そのアプリケーションの IAST に関する問題のみが表示されます。

JAR ファイルを使用した Java IAST エージェントのデプロイ

手順

  1. jar_deploymentフォルダで、 Secagent.jarファイルを見つけます
  2. Secagent.jar ファイルをアプリケーションの root ディレクトリーにコピーします。
  3. フラグ-Djavaagent:<path to secagent.jar>をアプリのコマンド・ラインに追加します。
    例:

    ショッピング Web サイトの場合:

    
              java -javaagent:secagent.jar -jar ./shopping/target/shopping-0.9.0-SNAPSHOT.jar

タスクの結果

アプリケーションの使用やテスト (機能テストの実行、動的スキャンの実行、手動でのアプリケーションの探査) を行うと、IAST エージェントは要求を監視し、セキュリティー問題をレポートします。

Security Manager での Java エージェントの実行

このタスクについて

セキュリティマネージャで Java エージェントを実行することができます:

  • Tomcat でのwar ファイルとして、または
  • Tomcat 以外のサーバー上で jar ファイルとして。ガイダンスが必要な場合は、AppScan サポートチームにお問い合わせください。

Security Manager を使用して Java エージェントをtomcat でwar として実行するには:

手順

  1. Catalina.policy ファイルを見つけます。
    通常、catalina.policy ファイルはTomcat インストール設定ディレクトリにあります。正確なパスは、オペレーティングシステムと Tomcat のバージョンによって異なる場合があります。
  2. テキストエディターでcatalina.policy ファイルを開きます。
  3. 「許可」ブロックを見つけます。
    キーワード「grant」で始まり、1 つ以上の「permission」文が続くブロックを検索してください。
  4. 必要な許可を次のように追加します。
    1. "grant" ブロックの内部で、以下の許可を追加します: 
      permission java.lang.RuntimePermission "net.バイトバディー.*";
    2. ファイルの最後に、次の許可を追加します。 
      付与codeBase "file:${catalina.base} /webapps/Secagent/-"{ permission java.security.AllPermission; } ;
  5. Catalina.policy ファイルを保存します。
  6. 変更を適用するには、Tomcat サーバーを再起動します。