下载 Java IAST 代理程序并将其部署在 Web 服务器上
您必须下载并在被测应用程序的 Web 服务器上部署 IAST 代理,以监视运行时期间发送的流量并报告其发现的漏洞。
开始之前
- 被测应用程序应安装在 Web 服务器上。
- 您必须在 AppScan Enterprise 中的“监视器”视图的“任务夹”选项卡中创建一个应用程序。有关在 AppScan Enterprise 中创建应用程序的更多信息,请参阅创建应用程序。
关于此任务
过程
- 登录 AppScan Enterprise Server。
- 转到监视器页面 > 任务夹选项卡以查看可用应用程序的列表。
-
单击您要将 IAST 代理下载到的应用程序。
系统将显示应用程序页面。有关创建应用程序的更多信息,请参阅创建应用程序
-
在左侧窗格上,单击 IAST 代理。
IAST 代理程序页面显示在右侧窗格中。
-
单击创建新代理。
系统显示 IAST 入门页面。
-
单击创建新代理。
系统显示 IAST 代理创建页面。
-
从代理类型下拉列表中,选择开发测试应用程序所使用的语言。
注: IAST 功能支持基于 Java、.NET 和 Node.js 的应用程序。
- 在代理名称框中,输入您为应用程序创建的代理的唯一名称。代理程序名称可以包含字母数字和特殊字符,最大长度为 30 个字符。
- 单击下载代理。系统将显示检查您的下载文件夹消息,并且 AppScanIASTAgent 文件将下载到系统的缺省下载文件夹中。
- 将 AppScanIASTAgent 文件提取到文件夹中。
-
您可以使用以下任一类型的文件来部署 Java IAST 代理程序:
注: 对于 Java IAST 代理程序,JAR 和 WAR 文件具有相同的通信令牌,因此两种代理程序将与同一 IAST 会话进行通信。在一些应用程序使用 WAR 文件而其他应用程序使用 JAR 文件的情况下,这一点很有帮助。
结果
使用 WAR 文件部署 Java IAST 代理程序
过程
- 在被测应用程序的 Web 服务器上部署 Secagent.war 文件。
-
与被测应用程序交互(运行功能测试,运行动态扫描或手动探索应用程序),以便 IAST 代理监测请求并报告安全问题。
注: IAST 扫描不会发送自己的请求。仅当请求通过系统测试、手动探索或 DAST 扫描等发送到正在测试的应用程序时,它才能发现问题。
-
转到应用程序的选项卡视图,然后单击左侧窗格上的所有问题以查看与发现的安全漏洞相关的问题列表。
注: 您可以使用筛选器 Discovery Method=IAST,以仅查看应用程序中的 IAST 问题。
使用 JAR 文件部署 Java IAST 代理程序
过程
- 将 Secagent.jar 文件复制到应用程序的根目录。
-
使用以下命令从项目的根目录运行所有服务。
示例:
对于购物网站:
start java -javaagent:secagent.jar -jar ./shopping/target/shopping-0.9.0-SNAPSHOT.jar server ./shopping/app.yaml