在 Web 伺服器上下載和部署 Java IAST 代理程式

您必須在已測試應用程式的 Web 伺服器上下載和部署 IAST 代理程式,才能監視在執行時間所傳送的流量,並報告所發現的漏洞。

開始之前

  • 您必須已在 Web 伺服器上安裝已測試應用程式。
  • 您必須在 AppScan Enterprise「監視」視圖的「資產組合」標籤中建立應用程式。如需在 AppScan Enterprise 中建立應用程式的相關資訊,請參閱建立應用程式

執行這項作業的原因和時機

本節可協助您在已測試應用程式的 Web 伺服器上下載和部署 Java IAST 代理程式。

程序

  1. 登入 AppScan Enterprise Server。
  2. 移至監視頁面 > 資產組合索引標籤,以檢視可用的應用程式清單。
  3. 按一下您想要下載 IAST 代理程式的應用程式。
    這時會顯示應用程式伺服器頁面。如需建立應用程式的詳細資訊,請參閱建立應用程式
  4. 在左側窗格中,按一下 IAST 代理程式
    IAST 代理程式頁面隨即顯示在右側窗格上。
  5. 按一下建立新代理程式
    這時會顯示開始使用 IAST 頁面。
  6. 按一下建立新代理程式
    這時會顯示 IAST 代理程式建立頁面。
  7. 代理程式類型下拉清單中,選取開發測試應用程式所用的語言。
    註: IAST 功能支援 Java、.NET 和 Node.js 型應用程式。
  8. 代理程式名稱方塊中,針對您要為應用程式建立的代理程式輸入唯一名稱。代理程式名稱可能包含英數字元和特殊字元,且長度上限為 30 個字元。
  9. 按一下下載代理程式。這時會顯示檢查您的下載資料夾訊息,並且會將 AppScanIASTAgent 檔案下載至系統的預設下載資料夾。
  10. AppScanIASTAgent 檔案解壓縮至某個資料夾。
  11. 您可以使用下列其中一種類型的檔案來部署 JAVA IAST 代理程式:
    1. 使用 WAR 檔
    2. 使用 JAR 檔
    註: 若為 JAVA IAST 代理程式,JAR 及 WAR 檔都具有相同的通訊記號,所以兩個代理程式都會與相同的 IAST 階段作業通訊。在某些應用程式使用 WAR,而其他應用程式使用 JAR 的實務範例中,這會有所幫助。

結果

IAST 代理程式部署在已測試應用程式的 Web 伺服器上。您現在可以在應用程式的監視頁面檢視 IAST 代理程式偵測到的所有問題。

使用 WAR 檔部署 JAVA IAST 代理程式

程序

  1. 在已測試應用程式的 Web 伺服器上部署 Secagent.war 檔案。
  2. 透過 IAST 代理程式已測試的應用程式進行互動(執行功能測試、執行「動態」掃描,或手動探索應用程式),以監控要求並報告安全問題。
    註: IAST 掃描不會傳送其要求。只有在要求是透過系統測試、手動探索或 DAST 掃描等傳送到您要測試的應用程式時,它才能發現問題。
  3. 移至應用程式的索引標籤視圖,並按一下左側窗格上的所有問題,以檢視與所發現安全漏洞相關的問題清單。
    註: 您可以使用過濾器 Discovery Method=IAST 以僅檢視應用程式中的 IAST 問題。

使用 JAR 檔部署 JAVA IAST 代理程式

程序

  1. Secagent.jar 檔案複製到應用程式的根目錄。
  2. 使用專案根目錄中的下列指令來執行所有服務。
    例如:

    若為購物網站:

    start java -javaagent:secagent.jar -jar ./shopping/target/shopping-0.9.0-SNAPSHOT.jar server
   ./shopping/app.yaml