Главная
Архив новостей
Шаблоны
Студенту
Статьи по стандартам
Файлы
Ссылки
Форум
О проекте
История проекта

IBM Rational AppScan

Авторы: IBM
Источник: interface.ru

IBMRationalAppScan  - это система сканирования безопасности Web-приложений, мировой лидер по принадлежащей ей доли рынка. IBMRationalAppScan позволяет тестировать безопасность любым способом - путем аутсорсинга, анализа настольных пользовательских систем или анализа всего предприятия - и независимо от типа пользователей, будь то разработчики приложений, группы контроля качества, специалисты, проводящие испытания на проникновение, сотрудники, проверяющие безопасность, или руководители компании. Запатентованный механизм сканирования IBMRationalAppScan постоянно проверяет Web-приложения, тестирует их на предмет проблем безопасности и соответствия нормативным требованиям и составляет отчеты с рекомендациями по исправлению ситуации. Бесшовная интеграция с лучшими средствами контроля качества, в том числе, Mercury Quality Center, средами разработки, такими как JBuilder and Microsoft Visual Studio, и устройствами сканирования кодов типа Fortify еще больше упрощает тестирование безопасности и устранение неисправностей на протяжении всего процесса разработки ПО. Система IBM Rational AppScan версии 7.6 помогает обеспечить безопасность Web-приложений и их соответствие требованиям на всем протяжении жизненного цикла разработки ПО. Она предназначена для самого широкого круга пользователей, от специалистов в различных областях, не имеющих отношения к обеспечению безопасности, до экспертов, способных использовать дополнительные средства и надстройки для создания индивидуальной среды сканирования. IBMRationalAppScan версии 7.6 работает с более сложными Web-системами и обеспечивает более точные результаты сканирования за счет адаптируемого процесса тестирования и улучшенной поддержки Ajax.

Сканирование Web-приложений

Последняя версия ПО IBMRationalAppScan обладает новыми характеристиками, позволяющими более эффективно сканировать Web-приложения и тестировать их на предмет безопасности:

• Запатентованный быстрый и функциональный механизм сканирования.

• Мастер конфигурирования, помогающий настроить сканирование.

• Пользовательский интерфейс, который включает в себя дерево приложений, переключатель вариантов отображения, иерархический список результатов поиска проблем безопасности, рекомендации по их устранению и панель с подробной информацией.

• Адаптивный процесс тестирования с функцией интеллектуального копирования человеческой логики, приспосабливающий фазу тестирования к каждому приложению. IBMRationalAppScan может изучить приложение вплоть до отдельных параметров и проводить только нужные тесты, которые помогут улучшить работу.

• Политика тестирования важнейших элементов для разработчиков, предусматривающая автоматизацию тестирования на предмет главных проблем безопасности в формате, позволяющем оптимизировать и упростить процесс разработки.

• Параллельное сканирование: возможность одновременно запускать несколько экземпляров IBMRationalAppScan. Эту функцию можно использовать для параллельного сканирования высокопроизводительных машин, рассмотрения результатов одного сканирования во время выполнения другого или для запуска любого сочетания функций из широкого ассортимента, предусмотренного в IBMRationalAppScan.

• Улучшенная поддержка технологии Ajax, повышающая эффективность автоматической проверки и тестирования приложений на базе этой технологии системой IBMRationalAppScan. В частности, улучшено исполнение JavaScript в рамках технологии Java, добавлено индивидуальное тестирование параметров протокола объектной нотации JavaScript (JSON), усовершенствована обработка объектов ActiveX, используемых в технологии JavaScript, и т.д.

• Поддержка сложных, многоэтапных процедур аутентификации в Web-приложениях. Когда решение IBMRational AppScan обнаруживает, что требуется сложная аутентификация, оно приостанавливает сканирование и предлагает выполнить соответствующий процесс. Система поддерживает следующие методы аутентификации: полностью автоматизированный открытый тест Тьюринга по распознаванию людей и машин (CAPTCHA), ступенчатая аутентификация, многофакторная аутентификация, одноразовые пароли, USB-ключи, смарт-карты и обоюдная аутентификация.

• Тестирование повышения уровня привилегий: эта функция тестирует модель авторизации в IBMRationalAppScan, обнаруживая защищенные ресурсы, к которым могут получить доступ пользователи, не располагающие достаточными для этого правами.

• Усовершенствованный механизм управления сеансами, который активно проверяет, находитесь ли вы по-прежнему в системе, и при необходимости автоматически обновляет регистрацию.

• Правила поиска закономерностей: в соответствии с ними программа ищет строки и регулярные выражения в первоначальных ответах. Это упрощает, например, тестирование безопасности систем, где используются номера кредитных карт или социального страхования.

• Интегрированное средство сканирования Web-сервисов, которое понимает механизмы взаимодействия приложений и содержит большое количество усовершенствованных тестов протокола SOAP, что обеспечивает широкий охват сканируемого приложения.

• Просмотр результатов в реальном времени, что позволяет начать изучать их и устранять обнаруженные проблемы еще до завершения сканирования. Это бывает полезно при крупномасштабном сканировании; кроме того, эта функция может пригодиться аудиторам и специалистам по испытаниям на проникновение, которые должны протестировать приложение за ограниченное время.

• Улучшенное отображение проблем: программа предоставляет более широкие возможности управления способами отображения ошибок. Можно менять размер шрифта в запросах и ответах, переключаться между двумя режимами просмотра - обычным и с переносом строк, выполнять поиск и печатать страницы с информацией, предоставленной системой IBMRational AppScan.

Индивидуальная настройка и контроль

К числу нововведений в версии 7.6 системы IBMRationalAppScan относятся также дополнительные возможности индивидуальной настройки и контроля:

• AppScan SDK предоставляет широкий выбор интерфейсов для запуска любого действия в IBMRationalAppScan, от длительного сканирования до отдельного, индивидуально настроенного теста. Эта мощная платформа обеспечивает легкую интеграцию в существующие системы, поддерживает сложные индивидуальные варианты использования механизма IBMRationalAppScan и представляет собой основу для AppScan eXtensions Framework и Pyscan (см. ниже).

• Система AppScan eXtensions Framework позволяет загружать дополнительные модули для расширения функций IBMRationalAppScan. Она дает возможность индивидуально корректировать и усовершенствовать IBMRationalAppScan с учетом потребностей ваших процессов, автоматизировать внутреннюю работу компании с помощью решения IBMRationalAppScan, которое в этом случае играет роль мощного фундамента, и обеспечивать расширение функционала путем загрузки дополнений с открытым кодом в портале сообщества AppScan eXtensions.

• Модуль SQL Injection Exploiter, входящий в состав системы AppScan eXtensions Framework, автоматически пытается извлечь таблицы из базы данных, используя слабые места в системе защиты, допускающие SQL-инъекции.

• Pyscan - платформа для тестирования безопасности Web-приложений, построенная на базе ПО IBMRationalAppScan и Python, - позволяет аудиторам использовать преимущества широкого круга функций IBMRationalAppScan при проверке вручную. В любой момент в их распоряжении находятся такие функции, как усовершенствованное управление сеансами IBMRationalAppScan (используется для определения и поддержания состояния регистрации в системе), легкий доступ к хранилищу данных о просканированных приложениях и широкие возможности составления отчетов. Pyscan может кардинально повысить эффективность той части проверки, которая проводится вручную, и позволяет не отказываться от незаменимых экспертных знаний аудитора.

• В программе IBMRationalAppScan установлены заранее заданные шаблоны сканирования, которые включают в себя демонстрационный Web-сайт Watchfire, Hacme Bank и WebGoat V4.

• Дополнительные возможности конфигурирования, в том числе настройки реестра IBMRationalAppScan и дополнительные средства управления работой IBMRationalAppScan, теперь доступны на вкладке «Дополнительно» в диалоговом окне «Опции».

• Функция «Просмотр элементов, не подвергающихся риску» позволяет сохранять все тесты, проведенные системой IBMRationalAppScan. Это дает возможность увидеть более полную картину мелких изменений и действий, предпринятых системой IBMRational AppScan, и выборочно изучить проблемы вручную с помощью мощных средств поиска и сортировки.

• Функция составления отчетов об ошибочных положительных или отрицательных результатах позволяет отправлять пакеты информации, при необходимости зашифрованные, в отдел исследований безопасности Watchfire на анализ. Все необходимые изменения тестов безопасности предоставляются в составе ежедневных обновлений IBMRational AppScan.

Обнаружение слабых мест в системе защиты

Последняя версия IBMRationalAppScan обладает большими возможностями в области обнаружения слабых мест в системе защиты:

•  IBMRationalAppScan может симулировать атаки хакеров, например, межсайтовый скриптинг, разделение HTTP-ответов, фальсификацию параметров, манипуляции со скрытыми полями, скрытые возможности/ошибки отладки, замаскированное управление, принудительный просмотр, переполнение буфера приложений, отправление в Web-приложение модифицированных маркеров, неправильное изменение конфигурации третьим лицом, известные слабые места в системе защиты, HTTP-атаки, SQL-инъекции, подозрительный контент, тесты XML/SOAP, спуфинг контента, инъекции по облегченному протоколу доступа к каталогам (LDAP), XPath-инъекции и фиксацию сеанса.

• Версия 7.6 включает в себя таблицы для соотнесения ошибок со списком 10 главных проблем безопасности, составленным организацией Open Web Application Security Project (OWASP), и со списком 20 главных проблем безопасности, составленным Институтом системного администрирования, организации сетей и безопасности (SANS).

• Свежая информация об атаках нулевого дня на имеющиеся по последним сведениям слабые места в системе безопасности предоставляется ежедневно, и IBMRationalAppScan проверяет обновления автоматически при загрузке или по требованию пользователя.

• К IBMRationalAppScan прилагается набор утилит Watchfire PowerTools, которые помогают специалистам, разрабатывающим, тестирующим и отлаживающим Web-приложения, дополняя тестирование вручную и обеспечивая большую мощность, автоматизацию и эффективность.

Составление отчетов иустранение ошибок

IBMRationalAppScan версии 7.6 составляет отчеты и помогает устранять ошибки благодаря следующим возможностям:

• Отчеты о дельта-анализе, содержащие сведения о том, какие изменения прошли между двумя последовательными сканированиями. Из таких отчетов можно узнать, что исправлено, что не исправлено и какие новые проблемы безопасности появились со времени первоначального сканирования.

• Подсветка и указание причин при проверке правильности; эту функцию можно использовать для выявления слабых мест. Во время тестирования IBMRationalAppScan может подсвечивать HTML-код, который, по-видимому, вызывает проблемы безопасности. Затем IBMRationalAppScan может понятным языком объяснить логику теста и причины обнаружения ошибки. Кроме того, функция AppScan Difference может отобразить HTML-код, измененный в первоначальном ответе, чтобы дополнительно прояснить ситуацию для пользователя.

• Настраиваемые информационные сообщения и рекомендации по исправлению ситуации, с помощью которых можно добавить примечание о политике компании или предоставить индивидуальные объяснения по тому или иному вопросу. Эта функция позволяет адаптировать IBMRationalAppScan к процессам компании и сэкономить время, которое потребовалось бы на внесение изменений и повторы.

• Рекомендации по устранению ошибок в гипертекстовом препроцессоре (PHP).

• Контроль индивидуальных вариантов, позволяющий удалять их или помечать как «неподвергающиеся риску» для последующего просмотра на соответствующем экране.

• Выявление подозрительного контента - например, секретных данных в комментариях в HTML-коде и полной информации об операциях по протоколу HTTP - и передача такого контента пользователям.

• Отчеты о соответствии нормативам, в том числе нормативному акту 800-53 Национального института стандартов и технологий (NIST) и последнему списку 10 главных ошибок, составленному OWASP и обновленному в 2007 году. IBMRationalAppScan теперь составляет 41 отчет о соответствии мировым нормативным актам и стандартам.

• Настраиваемые отчеты для руководства, разработчиков, инженеров по контролю качества, системных администраторов и специалистов по безопасности с возможностью полноценного управления контентом и оформлением.

• Более краткие и вместе с тем информативные отчеты на базе URL.

• Отчеты о соответствии отраслевым стандартам, в том числе, списку главных 10 ошибок, составленному OWASP, списку главных 20 ошибок, составленному SANS, и стандартам Консорциума безопасности Web-приложений (WASC).

• Решение, наиболее полно соблюдающее отраслевые требования в отношении отчетности: оно генерирует 41 готовый шаблон и отчет о соответствии нормативам, в том числе закону № 1950 Ассамблеи штата Калифорния, закону о защите конфиденциальности детей в Интернете (COPPA), директиве 6/3 директора ЦРУ (DCID), Закону об электронном переводе средств (EFTA), закону о биржах и ценных бумагах, Федеральному закону об управлении безопасностью информации (FISMA), закону Грамма-Лича-Блайли, закону о переносимости и учете при страховании здоровья (HIPAA), программе защиты данных на сайте MasterCard, инструкциям для электроэнергетических компаний «Защита жизненно важной инфраструктуры» North American Electric Reliability Corporation (NERC CIP), стандартам безопасности данных в отрасли платежных карт, закону 1974 года о конфиденциальности, закону Сарбейнса-Оксли, разделу 21 Свода федеральных нормативных актов, программе защиты информации держателей карт Visa, законам и нормативным актам базельского Комитета по надзору за банковской деятельностью (соглашению BASEL II), а также стандартам 17799 и 27001 Международной организации по стандартам.

• Фильтр отчетности, позволяющий выбирать отчеты о проблемах приложений, инфраструктуры или о проблемах обоих типов.

• Моментальные снимки отчета, которые можно сделать во внутреннем браузере IBMRationalAppScan и добавить в отчет. Эта функция может пригодиться для демонстрации результатов сканирования разработчиками системным администраторам, которым требуются доказательства наличия слабых мест в системе защиты.

• Отчеты об ошибочном обнаружении. Эта функция позволяет выбрать тесты, из которых IBMRational AppScan извлечет общедоступную информацию, заархивирует ее и зашифрует для отправки по электронной почте. Это быстрый и легкий способ отправить компании Watchfire отзывы о тестах, которые, по вашему мнению, нашли несуществующие ошибки (то есть IBMRationalAppScan по результатам тестирования сообщает о проблеме безопасности, хотя вы убеждены, что ошибок нет). Кроме того, с помощью этой функции легко отправить информацию о тесте на рассмотрение разработчикам приложения или системным администраторам.

•  Отображение решения. При таком варианте отображения система выводит полный список заданий, которые требуется выполнить, чтобы решить проблемы безопасности, обнаруженные при сканировании. Можно просмотреть список, относящийся ко всему приложению или к определенным папкам, чтобы было проще распределить задания между разработчиками приложения и системными администраторами.

:: К списку статей ::

 Developing.ru  - клуб программистов Клуб разработчиков программных систем Rambler's Top100 Рейтинг@Mail.ru Каталог ресурсов ListTop.Ru Яндекс цитирования Rambler's Top100
© 2001-2017. Сopyright by "Отдел автоматизации и разработки ПО"
Перепечатка любых материалов без разрешения авторов сайта запрещена.
Сергей Мякишев©, o'Xana - Дизайн и разработка сайта
Kost - Программирование, Системное Администрирование