概述

HCLAppScan Standard 是 HCL AppScan 应用程序安全测试套件的渗透测试组件,用于测试 Web 应用程序和服务。它具有识别安全漏洞的前沿方法和技术,可帮助保护应用程序免受网络攻击的威胁。

HCLAppScan Standard 是动态分析工具,通过使用类似于黑客使用的方法攻击应用程序,在运行时评估应用程序安全性。测试结果包括从应用程序清单到详细攻击流量的一系列丰富数据,系统可以重现这些数据以进行验证和修复。可以在 UI 中检查和处理这些数据,也可以采用各种格式导出这些数据,以便在其他工具中共享。

除了尖端测试设施外,AppScan 还包括其他功能,可帮助您尽可能高效地运行测试程序。这些功能包括:
  • 常规和法规一致性报告,并提供超过 40 个不同的开箱即用模板
  • 通过 AppScan eXtension Framework 或通过使用 AppScan SDK 直接集成到现有系统内来实现的定制和可扩展性
  • 内置优化机制,可帮助集中测试应用程序最可能发生问题的部分中可能出现的问题

AppScan Standard 可帮助您在站点部署之前并且为生产阶段的进行中风险评估来降低 Web 应用程序攻击和数据违规的风险。

支持的技术

站点使用的某些技术可能会影响 AppScan 扫描站点的能力,但是其他技术完全不会影响扫描。
  • AppScan 是一个“黑盒”(DAST) 工具,与浏览器使用相同的机制访问站点。因此,对于浏览器透明的服务器端技术对于 AppScan 也透明,但不会影响扫描。
  • 客户机端技术(如 JavaScript 和 HTTP 协议)本身的确会影响 AppScan。为了成功扫描,AppScan 利用嵌入产品的实际浏览器来处理网页,就如同使用在市场上可获得的浏览器一样。这可确保支持所有常用技术。有时可能需要附加配置来帮助 AppScan 理解元素的上下文,从而正确处理简单浏览之外的工作,这通常针对扫描的测试阶段。
  • 支持 WebSocket 登录记录和登录回放。

AppScan 扫描包含两个主要阶段:探索和测试。针对每个阶段,下表提供了理解哪些服务器端和客户机端技术可能会影响扫描的准则以及需要配置的情况。

服务器端技术

客户机端技术

探索阶段

任何不影响客户机的服务器端技术(如使用的特定数据库)不会以任何方式影响扫描。

只要 AppScan 配置正确,很多影响客户机的机制(如会话管理)都不会限制扫描。例如,Web 服务器和应用程序服务器影响管理会话标识的方式,AppScan 必须能够跟踪这些标识。很多常见会话标识已预定义或可以由 AppScan 自动检测,不需要其他配置。但是,某些定制机制可能仍需要其他配置。

AppScan 特别支持 WebSphere Portal 定制 URL。WSP 对 URL 的编码方式使其在显示时很难跟踪。AppScan 会解码这些 URL,以理解这些 URL 并对其进行调优。

AppScan 使用完全嵌入式浏览器,它自动支持所有主要技术 (HTML5),包括许多常用的 JavaScript 框架,例如 Angular、React 和 JQuery。

如果自动探索阶段因特定技术而丢失页面,或由于实现阻挡自动探索而丢失页面,可以在自动探索之后,测试阶段之前,通过手动探索将这些页面添加到扫描。

测试阶段

AppScan 旨在测试应用程序而不是其支持技术,因此它们不会影响测试。再次考虑数据库:AppScan 的 SQL 注入测试套件与所用的数据库无关。它还可以为第三方测试(常见漏洞测试)提供特定测试。

客户机端 JavaScript 漏洞使用嵌入式浏览器进行测试。同样使用 Black-Box (DAST) 方法实施测试。对浏览器环境进行控制,并按原样执行 JavaScript 以显示漏洞。AppScan 支持现代浏览器所支持的所有执行方法。