您必須在已測試應用程式的 Web 伺服器上下載和部署 IAST 代理程式,才能監視在執行時間所傳送的流量,並報告所發現的漏洞。
開始之前
- 您必須已在 Web 伺服器上安裝已測試應用程式。
- 您必須是管理員,才能配置應用程式伺服器上的 IAST 代理程式。
- 您必須已在 AppScan Enterprise 應用程式的「監視」視圖中的「產品組合」索引標籤中建立應用程式。如需在 AppScan Enterprise 應用程式中建立應用程式的詳細資訊,請參閱建立應用程式。
執行這項作業的原因和時機
本節可協助您在已測試應用程式的 Web 伺服器上下載和部署 IAST 代理程式。 程序
-
登入 AppScan Enterprise Server 應用程式。
-
移至監視頁面 > 資產組合索引標籤,以檢視可用的應用程式清單。
-
按一下您想要下載 IAST 代理程式的應用程式。
這時會顯示應用程式伺服器頁面。如需建立應用程式的詳細資訊,請參閱
建立應用程式 -
在左側窗格中,按一下 IAST 代理程式。
IAST 代理程式頁面隨即顯示在右側窗格上。
-
按一下建立新代理程式。
這時會顯示開始使用 IAST 頁面。
-
按一下建立新代理程式。
這時會顯示 IAST 代理程式建立頁面。
-
如果您測試的應用程式是 Java 型應用程式,請從代理程式類型下拉式清單選取 Java。否則,請選取開發已測試應用程式所使用的適當語言。
註: IAST 功能僅支援 Java 型應用程式。
-
在代理程式名稱方塊中,為您要為應用程式建立的代理程式輸入唯一名稱。代理程式名稱可能包含英數字元和特殊字元,且長度上限為 30 個字元。
-
按一下下載代理程式。這時會顯示檢查您的下載資料夾訊息,並且會將 AppScanIASTAgent 檔案下載至系統的預設下載資料夾。
-
將 AppScanIASTAgent 檔案解壓縮至某個資料夾。
-
將 Secagent.war 檔案從 AppScanIASTAgent 檔案的解壓縮資料夾複製到已測試應用程式的 Web 伺服器。
-
與已測試應用程式互動,以讓 IAST 偵測漏洞。
註: IAST 掃描不會傳送本身的要求。只有在要求是透過系統測試、手動探索或 DAST 掃描等傳送到您要測試的應用程式時,它才能發現問題。
-
移至應用程式的索引標籤視圖,並按一下左側窗格上的所有問題,以檢視與所發現安全漏洞相關的問題清單。
註: 您可以使用過濾器 Discovery Method=IAST 以僅檢視應用程式中的 IAST 問題。
結果
IAST 代理程式部署在已測試應用程式的 Web 伺服器上。您現在可以在應用程式的監控頁面中檢視 IAST 代理程式偵測到的所有問題。