{AppScan}黑盒掃描工具

AppScan? 是一個(gè)適合safety engineering的 Web 應(yīng)用程序和 Web 服務(wù)滲透測(cè)試解決方案。

關(guān)鍵功能：

· 對(duì)現(xiàn)代 Web 應(yīng)用程序和服務(wù)執(zhí)行自動(dòng)化的動(dòng)態(tài)應(yīng)用程序安全測(cè)試 (DAST) 和交互式應(yīng)用程序安全測(cè)試 (IAST)。

· 支持 Web 2.0、Javascript 和 AJAX 框架的all round Javascript 執(zhí)行引擎。

· 涵蓋 XML 和 JSON 基礎(chǔ)架構(gòu)的REST Web 和 SOAP 服務(wù)測(cè)試支持 WS-Security 標(biāo)準(zhǔn)、XML 加密和 XML 簽名。

· 詳細(xì)的漏洞公告和修復(fù)建議。

· 40 多種合規(guī)性報(bào)告，包括支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)、支付應(yīng)用程序數(shù)據(jù)安全標(biāo)準(zhǔn) (PA-DSS)、ISO 27001 和 ISO 27002，以及 basel II。

.提供的自定義功能和可擴(kuò)展性。

滲透測(cè)試應(yīng)用安全expert團(tuán)隊(duì)以模擬惡意hacker的攻擊方法，在不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的情況下在漸進(jìn)逐步的找到系統(tǒng)弱點(diǎn)、技術(shù)缺陷或安全漏洞等，進(jìn)而協(xié)助客戶解決系統(tǒng)存在的一系列安全問題，提高系統(tǒng)的防御能力，并出具滲透測(cè)試報(bào)告。

應(yīng)用類型支持：Web應(yīng)用、移動(dòng)APP應(yīng)用、Web Service、Rest API等。

審計(jì)類型支持：路徑遍歷、可預(yù)測(cè)資源位置、認(rèn)證不充分、蠻力、郵件命令注入、目錄索引、內(nèi)容電子欺騙、會(huì)話預(yù)測(cè)、權(quán)限不足、遠(yuǎn)程文件包含、HTTP請(qǐng)求分割/響應(yīng)分割、拒絕服務(wù)等900+類型。

滲透測(cè)試工具支持：Appscan、Webinspect。

一、對(duì)比分析我們使用WebGoat做為測(cè)試用例，來(lái)分析一下兩個(gè)產(chǎn)品的差異。

1、使用工具：

?Fortify SCA ?SonarQube

2、使用默認(rèn)規(guī)則，不做規(guī)則調(diào)優(yōu)。

3、掃描后直接導(dǎo)出報(bào)告，不做審計(jì)。

二、掃描問題總覽

Fortify SCA掃描結(jié)果報(bào)告：

從上邊可以看出：Fortify掃描出Critical和High級(jí)別的漏洞共計(jì)757條。

SonarQube掃描出阻斷和嚴(yán)重級(jí)別的漏洞為28條，關(guān)于軟件質(zhì)量問題有2K+條。

Fortify掃描出來(lái)的內(nèi)容，基本上都是和安全相關(guān)的信息。例如：?Privacy Violation?Cross-Site scripting: Reflected?Cross-Site scripting: Persistent?SQL Injection