應用掃描：從源頭加固Web應用安全

目前，企業開發的很多新應用程序都屬于Web應用程序的范疇，Web服務也越來越頻繁地被用于集成Web應用程序。在企業把業務服務不斷搬到互聯網上的過程中，Web應用經常會因為缺少對安全方面的考慮而漏洞百出，漏洞的持續存在更是導致了黑客攻擊等諸多問題。Web應用漏洞掃描工具的出現提供了一種預防Web應用攻擊的有效手段。

隨著Web應用程序數量的驟增，越來越多的威脅通過Web應用進入企業網內，如何在病毒沒有攻擊之前發現并堵住Web應用的漏洞，已成為構筑Web安全的上上策。俗話說，防患于未然。那么，能否設計一種類似網絡漏洞掃描工具的產品，預先掃描Web系統，并進行相應的評估和管理呢？最新問世的Watchfire AppScan產品套件就實現了這一近乎理想化的命題。

AppScan專利掃描引擎

Watchfire AppScan是一種有效的企業級Web應用安全測試組件，它可以對所有常見的Web應用漏洞進行掃描和測試，包括那些WASC所分類定義的Web應用威脅,例如SQL注入、跨網站腳本攻擊以及緩存溢出等攻擊。

AppScan為最新的Web2.0技術、Flash技術和先進的JavaScript技術提供了完善的漏洞掃描功能，并能提供全面的AJAX支持。

AppScan的專利掃描引擎可以進行Web應用安全審計，并能夠從測試安全和標準遵從等多個角度為開發人員提供可操作的修復建議及修復任務報告。它可以與軟件產品質量檢測平臺、開發環境（Jbuilder、Visual Studio和Fortify）的代碼掃描工具無縫集成，使得安全測試和修復貫穿整個軟件開發流程。

AppScan的設計為安全審計和滲透測試人員提供了一種直觀且易于操作的工具。革命性的功能如測試策略管理器、實時掃描日志、掃描權限集中管理、用戶自定義測試和定時掃描等為用戶提供了更高的透明度和客戶化定制能力，使用戶能針對其應用所需要掃描的部份進行準確的掃描。

Web應用安全掃描

Watchfire的AppScan稱得上是當前業界最快和最完備的專利掃描引擎之一，它支持掃描JavaScript、Flash等復雜的Web應用技術，而這些技術往往導致傳統掃描工具漏報及出現錯誤。用戶可以通過任務狀態監控來檢測自己是否依然在登錄狀態，并且在需要的時候以用戶身份自動登錄。

Watchfire采用復雜的身份認證來配合Web應用的多步認證流程。如果AppScan檢測到Web應用需要復雜的身份認證,就會暫停掃描并給用戶以相應的提示�，F階段，Watchfire支持的身份認證方式包括CAPTCHA認證、逐步認證、多因子認證、一次性口令認證、USB令牌認證、智能卡和相互認證等多種方式。

Watchfire具有廣泛的Web應用服務功能，利用AJAX可以有效地加強JavaScript代碼的執行能力。JavaScript的執行功能也能夠檢測到更多的鏈接，甚至包括在AJAX應用中XML HTTP請求生成的鏈接。而特征搜索規則功能能夠實現在原響應中字符串和正則表達式的搜索。例如，該功能可以對信用卡或社會安全號進行安全測試。

Watchfire的實時查看結果功能允許用戶在掃描完成之前，查看掃描出來的漏洞并采取相應措施，該功能對大規模的掃描以及審計員和滲透測試人員在有限時間內完成應用測試非常有用。此外，Watchfire提供的增強型問題查看功能提供了對問題顯示的強大控制手段，用戶可以方便地改變字體的大小，也可以在“Word Wrap”模式和正常模式之間靈活地選擇。

報告和修復建議

AppScan增量分析報告可以為用戶提供從本次掃描到下次掃描發生的變化。該報告包括從上次掃描至今已修復和未修復的漏洞列表及安全問題。在測試時，AppScan會把確認導致漏洞的HTML代碼高亮顯示。漏洞的原因會用自然語言方式提供給用戶，并詳細解釋相應的測試邏輯和出現問題的原因。

Watchfire還能夠提供可定制的報告，為管理層、開發人員、系統管理員和安全專家提供定制的內容和形式。所生成的報告均為業界標準報告，包括OWASP、SANS和WASC標準。同時，Watchfire遵從業界最廣泛的標準報告方案，可以生成34種常規遵從模板和報告。其報告能夠顯示整個應用或指定目錄所需的修復任務，便于把需要修復的相關信息分發給應用開發人員和系統管理員。