IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,企业级 Web 应用安全解决方案实例.doc

IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全，企业级 Web 应用安全解决方案实例 前言 我们将从企业中不同的角色，如开发人员、安全管理员、部门经理的角度出发，详细描述在部署了 IBM Rational ASE 企业级 Web 应用安全平台之后，每个角色的日常工作是如何开展的，该平台又为他们提供了怎样的方便性和统一性。 开发人员 Christine 的一天 开发人员 Christine 和往常一样，一天的工作从打开 Outlook，收取邮件开始。ASE 有邮件通知功能，当 Christine 关心的某个应用扫描结束，或者某个事先定义的阀值达到后，系统会自动发送邮件，通知她系统发现了哪些安全隐患。此时 Christine 可以直接点击邮件提示的安全隐患，登录系统。如图 1。 图 1 开发人员 Christine 接收 ASE 发来的邮件 通过邮件，Christine 打开了如图 2 的页面。左上部的“Folders”视图，显示了 Christine 有权查看的应用或者系统模块，该权限是由管理员事先设定的。左下部的“Recently Viewed”视图，体现了 Christine 最近访问过的报告或者仪表板。右侧的“Remediation Tasks”视图，则列举了该模块或应用所有需要修复的任务。 需要注意的是，修复任务和发现的隐患是不同的概念，它是完全站在开发人员的角度看待问题的。如图 2 的方框说明，21 个修复任务解决了在 25 个 URL 中发现的 62 个安全隐患。因此，使用修复任务视图，开发人员可以不用去关注具体的安全漏洞，也就是说，开发人员可以不用是 Web 安全专家，他只需要根据修复任务中的提示，改正相应代码即可。 图 2 ASE 中开发人员“修复任务”视图 同时，在 ASE 中还有丰富的分组（Grouping）功能，可以对修复任务进行分类处理，如图 3 所示，Christine 可以按照 URL 分组，方便她在同一个页面上修复发现的所有隐患。 图 3 按照 URL 分组修复隐患 Christine 展开某一个链接，并点击具体的修复任务，就可以看到如图 4 所示的具体修复建议页面。如果 Christine 准备着手去修改该问题，她可以将如图 4 的“Action”，选择为“Mark Status as In Progress”，表示该安全问题已经处于正在被修改的状态。在该页面的中部，有四个标签页（Tab），分别是“General Information”、“Advisory”、“Fix Recommendation”和“Request/Response”。 其中，“General Information”（通用信息）是在扫描中发现隐患的概要描述，在这里 Christine 还可以加入自己的注释进行特别说明。 “Advisory”（咨询说明）解释了所发现漏洞的 WASC 分类、对该漏洞的详细解释（使用在线视频方式）和相关的参考链接等。这里是对开发人员进行培训和教育的地方，通过自我学习，可以容易的将 Web 安全常识、业界安全漏洞和业界标准等知识融入到日常工作中，有效培养开发人员的安全意识，为最终提高应用的质量打下坚实的基础。 “Fix Recommendation”部分详细说明了应该如何修复该安全漏洞。在本例中，Christine 就可以根据该标签页上面的指导，去修改相应的代码。 “Request/Response”则说明为了发现此安全隐患，ASE 发送了怎样的 HTTP 请求，而 Web 应用给予了怎样的 HTTP 响应，通过对这些响应的分析，可以判断出存在什么安全漏洞。Christine 可以使用该标签页，深入了解 ASE 和 Web 应用之间的 HTTP 通讯。 图 4 ASE 中安全隐患的详细说明页面 当 Christine 完成了代码的修改，她可以将该任务的状态改为“Fixed”，表示任务已经被修正。当然，她也可以根据具体情况，将任务改为其它状态（如“Noise”表示该任务属于误报，本次可以不用修复等），如图 5 所示。同时，Christine 还可以加入注释，附加说明和修复任务相关的信息。 图 5 ASE 中自带的问题管理流程 Christine 完成了任务后，想对刚修复的安全漏洞进行验证，这就用到了 ASE 中强大的“QuickScan”功能。QuickScan 可以让开发人员方便快速的启动扫描任务，而不需要对应用的整体细节（包括如何部署等）做过多的了解。这是通过应用管理员事先定制模板实现的。该模板限制了谁可以扫描哪些应用或应用的哪些模块，使用什么样的测试策略，同时也定义了扫描的 URL，如何登录系统等。如图 6 所示，点