检测和开发跨站点

使用 XSS 分析器编写脚本

IBM ***近进行的研究表明， 41% 的

测试的 web 应用程序包含 xss 漏洞. 1 xss

已知的漏洞类型已超过十年。

尽管如此， 它仍然是第二 OWASP 前10网站

应用程序漏洞列表。

IBM 安全 AppScan 标准软件现在包括

具有检测和利用 XSS 漏洞的创新能力。xss

分析器提供了一些***xian进的技术

对于 XSS 测试， 从知识库中提取数百个

数以百万计的剥削。分析仪大大降低了

通过应用模拟的智能学习系统来扫描时间

准确有效地发现威胁的人类行为。与

XSS 分析仪， IBM 安全 AppScan 标准软件能够

快速查找和修复此重要漏洞。

执行动态分析

玻璃盒测试

IBM 安全 AppScan 标准软件提供玻璃盒测试，

这是一种集成的应用程序安全测试的形式

(上)。玻璃盒安全测试是***xin的发展

混合分析， 结合动态 (黑箱) 分析

使用监视的内部代理模拟安全攻击

攻击期间的应用程序行为。通过玻璃盒测试，

IBM 安全 AppScan 标准软件提供更准确

测试结果并确定传统的漏洞

动态测试无法识别。通过强大的组合

安全研究和玻璃盒测试， 软件

提供 OWASP 前10漏洞的全mian覆盖， 并

可以识别 non-reflected 的漏洞， 如命令

执行，appscan， SQL 注入， 文件包含， 轻量级目录

接入协议注入， 日志锻造等。

玻璃盒测试还有助于安全团队协作

提供精que'信息的开发***

关于漏洞。通过玻璃盒测试， IBM 安全

AppScan 标准软件标识特定代码行和

提供有关应用程序在攻击过程中的执行方式的详细信息，

这有助于促进补救。因此， ***

开发商在他们的早期部署玻璃盒测试

一个新的精que测试水平的开发周期不

可与传统的动态或静态分析。

执行混合分析

J***aScript 安全分析器

在当今丰富的互联网上采用 Web 2.0 技术

应用程序将 J***aScript 的角色扩展为技术， 如

作为 Ajax，appscan许可证， J***aScript 框架和 HTML5 变得更加

共同.大多数 web 应用程序都大量使用客户端

J***aScript 代码， 这增加了有客户端的可能性

漏洞.IBM ***近进行的研究表明

大约40% 的 web 应用程序

测试了严重的客户端漏洞，appscan 9.0， 需要

手动代码检查， 以便通过渗透检测

测试仪2

为了应对这些新的风险， IBM 安全 AppScan 标准

软件包括静态污点的 J***aScript 安全分析器

分析 J***aScript 代码。J***aScript 安全分析器检测

一系列客户端安全问题， 例如文档对象

基于模块 (DOM) 的 XSS， 客户端打开重定向， 客户端

SQL 注入和许多其他 HTML5-related 安全性

问题.此外， IBM 安全 AppScan 软件是

第yi个应用动态和静态应用程序安全性的扫描仪

在同一扫描中进行混合分析测试。

IBM Rational AppScan: 增强 Web 应用程序

安全和***遵从性。

理性 AppScan 速成版: 获取健壮的 Web

具有吸引力的价格点的应用程序安全功能

应用程序开发规模小或有限的***

团队还需要考虑安全测试作为

开发生命周期。然而， 这些***往往

牺牲功能的负担能力。理性 AppScan

速成版满足中型***的要求

通过提供不妥协的安全测试

在 IBM Rational AppScan 标准版中发现的功能

在一个有吸引力的价格点。为便于部署而设计，

合理的 AppScan 速成版显著降低了

与手动漏洞测试相关的时间和成本，

允许您的团队专注于其他 IT 和与安全相关的工作

***内的需求。

合理 AppScan 测试版: 进行安全测试

质量管理计划的一部分

Rational AppScan 测试版， 可作为桌面应用程序使用，

提供帮助质量保证 (QA) 团队的能力

将安全测试集成到现有质量管理中

过程， 从而减轻了安全***人员的负担。

因为理性的 AppScan 测试版与领xian的集成

测试系统， QA ***人员可以使用其功能

在测试脚本中， 可以在其

熟悉的测试环境， 促进安全的采用

测试以及功能和性能测试。

Rational AppScan自定义和控件的核心功能包括:

● Rational AppScan extensi*** Framework技术，使用户

能够创建、分享、加载强大的插件扩展测试功能。

● Pyscan和Rational AppScan的组合，appscan代理商，具有Python脚本功

能，允许用户不受用户界面的限制利用扫描能力。能够实

现安全***和***测试人员从未能实现的自定义。

● Rational AppScan软件开发套件(SDK)，提供调用动作的

能力，从执行长时间扫描到提交定制测试。SDK界面的设

计易于集成，支持自定义扫描引擎支持，还支持Rational

AppScan extensi*** Framework和Pyscan选项。

Rational AppScan漏洞检测的核心功能包括:

● 全mian的有效性测试，分析非故意触发问题、Secure

Sockets Layer(SSL)测试(测试 SSL 证书有效性)、跨站点

伪zao请求测试(cross-site request forgery，CSRF)的相应。

● 黑ke模拟覆盖了Open Web Application Security Proje-ct

(OWASP)的前10项和System Administration， Networking，

and Security Institute (SANS)的前20项漏洞。

● ***xin的威胁信息，启动Rational AppScan产品时自动更新。

● ***的可用性套件，帮助***测试人员和安全咨询人员开

发、测试和调试Web应用程序。

appscan代理商-appscan-华克斯(查看)由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司（www.sinocax.com）为客户提供“Loadrunner,Fortify,源代码审计,源代码扫描”等业务，公司拥有“Loadrunner,Fortify,Webinspect”等品牌，专注于行业专用软件等行业。欢迎来电垂询，联系人：华克斯。