1. Trang chủ
  2. » Công Nghệ Thông Tin

Tạo các ứng dụng bảo mật Java một cách hiệu quả, Phần 2 docx

36 438 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 36
Dung lượng 0,9 MB

Nội dung

Tạo các ứng dụng bảo mật Java một cách hiệu quả, Phần 2 Tối đa hóa bảo mật trong ứng dụng Web Java với Rational AppScan David Whitelegg, Tác giả, Freelance Writer Tóm tắt: Đây là phần thứ hai trong loạt bài hướng dẫn gồm hai phần viết về việc tạo các ứng dụng Web bảo mật dựa trên Java® sử dụng Rational® Application Developer, Data Studio và Rational AppScan. Trong Phần 1 bạn đã phát triển một ứng dụng Web Java với Rational Application Developer, và sau đó mới triển khai ứng dụng trên WebSphere Application Server với Java Server Pages (JSP). Bài hướng dẫn này chỉ cho bạn biết cách quét ứng dụng Wealth được tạo ra trong Phần 1 có sử dụng Rational AppScan để tìm và sửa tất cả khiếm khuyết bảo mật Web đã biết. Bài viết này cũng chỉ cách quét lại ứng dụng của bạn và tạo ra các báo cáo. Trước khi bắt đầu Bài hướng dẫn này chủ yếu dành cho các nhà phát triển ứng dụng Web, các nhà kiểm tra ứng dụng Web, các đội bảo đảm chất lượng, các chuyên gia bảo mật thông tin và bất kỳ ai mong muốn các ứng dụng Web của mình không mắc các khiếm khuyết bảo mật đã biết. Bài viết này sẽ trình bày cách làm thế nào để đạt được mục tiêu này có sử dụng IBM Rational AppScan. Về loạt bài này Loạt bài gồm hai phần này có mục đích là nhằm mở rộng các kỹ năng phát triển ứng dụng Web của bạn thông qua việc sử dụng Rational Application Developer, Data Studio và Rational AppScan.  Phần 1 sử dụng các khả năng IDE của Rational Application Developer và các tính năng pureQuery của Data Studio để tạo ra một ứng dụng Web quản lý tài sản dựa trên Java một cách hiệu quả.  Trong Phần 2, bạn sẽ tận dụng rất nhiều tính năng Rational AppScan có sẵn để củng cố, hoặc bảo mật, ứng dụng Java bằng cách tìm ra các khiếm khuyết và sửa chúng sao cho bạn có thể tự tin triển khai ứng dụng Web của bạn. Về bài hướng dẫn này Bài hướng dẫn này sẽ chỉ cho bạn cách cài đặt, cấu hình và sử dụng Rational AppScan để quét ứng dụng Wealth Java Web đã được tạo ra trong Phần 1(Xem Tài nguyên). Bạn sẽ sử dụng các lần quét Rational AppScan để bảo đảm là ứng dụng Web của bạn không có các khiếm khuyết bảo mật Web. Theo đó bạn sẽ học được cách làm thể nào để đạt được nhiều nhất ngoài Rational AppScan, bao gồm:  Chiến lược triển khai  Tùy chỉnh một mẫu quét  Tiến hành quét  Phiên dịch và học hỏi từ các kết quả quét  Tạo ra các báo cáo quét  Sử dụng các mở rộng Rational AppScan Bài hướng dẫn này mở đầu bằng một đoạn khái quát về bảo mật ứng dụng Web. Đoạn khái quát này giải thích tầm quan trọng của việc sử dụng Rational AppScan, để bảo đảm sẽ loại bỏ các khiếm khuyết bảo mật Web trong quá trình phát triển ứng dụng của ứng dụng Web đối diện công cộng. Cũng có một đoạn khái quát về việc triển khai Rational AppScan và các xem xét cấp quyền nhằm giúp bạn gặt hái được nhiều nhất ngoài việc sử dụng Rational AppScan. Các yêu cầu về hệ thống Để hoàn thành các bước trong bài hướng dẫn này, bạn cần có:  Một bản IBM Rational AppScan Standard Edition (Ấn phẩm Tiêu Chuẩn Rational AppScan của IBM). Một cấp quyền Rational AppSca đầy đủ hoặc tạm thời. Phiên bản dùng thử tải xuống được của Rational AppScan chỉ cho phép quét một địa chỉ Web mặc định. Bạn có thể xin giấy phép sử dụng Rational AppScan ngắn hạn tạm thời từ đầu mối liên lạc IBM Rational Sales của bạn.  Một chiếc máy tính xách tay có khả năng kết nối mạng với máy chủ/máy trạm có ứng dụng của bài 1. Rational AppScan và khái quát bảo mật ứng dụng Web Trong đoạn này, chúng ta sẽ quan sát trạng thái của bảo mật ứng dụng Web trên Internet nói chung, và vai trò của Rational AppScan trong việc làm cho các ứng dụng Web an toàn hơn. Khái quát bảo mật ứng dụng Web Với việc khai thác các ứng dụng Web và nội dung Web 2.0 trên Internet, yêu cầu đối với chức năng ứng dụng Web tăng cường đã và đang đưa đến những ứng dụng Web lớn hơn và phức tạp hơn bao giờ hết, đặc biệt là trong phạm vi các trang web thương mại điện tử và các trang web kiểu mạng xã hội. Song song với xu hướng này, hiện đã và đang có một xu hướng khác đang lên còn nguy hiểm hơn, đó là khai thác các lỗi mã trình trong các ứng dụng Web của bọn tin tặc và tội phạm. Điều này đã dẫn đến một quy tắc tấn công lây nhiễm rất thực tế và tinh vi, đó là Web Application Hacking (Hack Ứng dụng Web). Có bằng chứng cho thấy số lượng các cuộc tấn công và xâm phạm dữ liệu thực tế xuất hiện tại tầng ứng dụng Web đang tăng lên, trái ngược với các cuộc tấn công truyền thống tại tầng mạng. Cơ sở hạ tầng mạng của bất kỳ giải pháp Web công cộng nào vẫn quan trọng như trước kia, tuy nhiên hiện nay chúng ta đã đạt đến giai đoạn mà cơ sở hạ tầng cấp mạng có thể được làm tấm chắn đạn một cách tương đối. Do vậy mà các tin tặc bây giờ lại tập trung nỗ lực vào các vùng bảo mật kém mà họ đang tìm kiếm trong mã trình ứng dụng Web. Các tin tặc đang đặc biệt nhắm mục tiêu dữ liệu giá trị cao phía sau và được ứng dụng Web kiểm soát, dữ liệu mà thường có giá trị thực có nghĩa. Hãy xem xét bức tường lửa ngoại vi mà có thể chống lại các cuộc tấn công tầng mạng gần như trực tiếp ngoài hộp, tuy nhiên một bức tường lửa mạng lại không có sự bảo vệ nào chống lại những khiếm khuyết cấp ứng dụng Web. Ví dụ, bức tường lửa chỉ có thể cho phép luồng thông tin mạng https đến một máy chủ Web, nhưng bức tường lửa không kiểm tra và cũng không quan tâm đến nội dung thực tế ứng dụng Web HTML chuyển qua đến một máy chủ Web, đó là cái có thể khai thác được. Những khoản đặt cọc cao, như thậm chí cả điểm yếu không đáng kể trong mã trình ứng dụng Web, chẳng hạn như trong việc nhập dữ liệu đơn giản hợp lệ, đều có thể gây ra những khiếm khuyết nghiệp vụ nghiêm trọng, dẫn đến sự tổn thất về tài chính và hủy hoại nghiêm trọng đối với lòng tin của khách hàng vào nhãn hiệu kinh doanh. Kết quả điển hình của các tin tặc khai thác các khiếm khuyết mã trình ứng dụng Web có thể cho phép một kẻ tấn công bỏ qua hoàn toàn hệ thống đăng nhập Web, lấy các phiên Web người dùng, gây ra sự ngừng chạy hoàn toàn một ứng dụng Web, và trực tiếp chất vấn, truy cập, và chế tác dữ liệu trên cơ sở dữ liệu phụ trợ. Có một nguy hại thực tế của các khiếm khuyết ứng dụng Web đang bị khai thác, đặc biệt là nếu dữ liệu ứng dụng có giá trị cao đi kèm với nó, chẳng hạn như thông tin thẻ thanh toán, thậm chí dữ liệu cá nhân nhạy cảm có giá trị có thể bán được. Số lượng tiêu chuẩn ngành, điều tiết và luật lệ áp dụng cho các khoản phạt lớn vì xâm phạm dữ liệu cũng tăng lên. Hãy nhớ rằng một khi có một ứng dụng Web sẵn có trên Internet, thì bất kỳ ai trên thế giới đều có thể truy cập ứng dụng đó, bao gồm cả các tin tặc gây rối đó. Các tin tặc này sẽ có một khoảng thời gian không hạn chế để tìm và khai thác bất kỳ khiếm khuyết hay yếu điểm nào trong mã trình ứng dụng Web. Căn cứ vào cách làm thế nào mà ứng dụng Web mà được tạo ra cho loạt bài hướng dẫn này lại có một chủ đề tài chính và thông tin nhạy cảm đáng bảo vệ, chẳng hạn như danh mục đầu tư bất động sản cá nhân, thì tầm quan trọng của việc phát hành Ứng dụng Web Tài sản mà không có khiếm khuyết là rất rõ ràng. Căn cứ nền tảng này và nghiệp vụ ngày càng quan trọng phụ thuộc vào bảo mật dữ liệu, việc phát triển các ứng dụng Web không có khiếm khuyết về bảo mật là một yêu cầu vô cùng quan trọng và nên là mục tiêu căn bản của bất kỳ ứng dụng Web nào. Trong bài hướng dẫn này bạn sẽ sử dụng Rational AppScan của IBM để đảm bảo là ứng dụng Web Java Wealth được tạo ra trong Phần 1 không có bất kỳ khiếm khuyết ứng dụng Web đã biết nào, đảm bảo ứng dụng Web đủ an toàn để đưa lên Internet. Khái quát về Rational AppScan Rational AppScan của IBM là một bộ sản phẩm bảo mật hàng đầu trên thị trường dành cho việc kiểm tra khiếm khuyết ứng dụng Web. Sử dụng Rational AppScan có thể giúp bạn đảm bảo rằng bất kỳ ứng dụng Web được phát triển đều đủ an toàn để đưa lên Internet. Rational AppScan là một công cụ quét mạnh và có thể tùy chỉnh được, và không chỉ được sử dụng trong quy trình kiểm tra và phát triển mà còn thường xuyên được sử dụng bởi các kiểm toán viên bảo mật và nhân viên hợp cách để kiểm tra sự thâm nhập, và thậm chí cả các đội bảo đảm chất lượng và quản trị kinh doanh. Chức năng chính của Rational AppScan là quét và kiểm tra các khiếm khuyết ứng dụng Web, và nó có thể tiến hành hàng ngàn kiểm tra tính bảo mật khiếm khuyết chẳng hạn như SQL Injection, Cross-Site Scripting (XSS) và Buffer Overflow. Các lần kiểm tra bảo mật trong Rational AppScan cũng được cập nhật thường xuyên; các lần kiểm tra mới và các lần cập nhật kiểm tra được thêm vào danh mục kiểm tra Rational AppScan khi phát hiện ra các khiếm khuyết ứng dụng mới. Cấp quyền sử dụng và các báo cáo Rational AppScan Rational AppScan có chức năng báo cáo toàn diện được cài đặt sẵn, cho phép các kết quả quét được sao chụp lại thành cấu trúc báo cáo đã định dạng trong trong một tệp Adobe PDF. Các báo cáo này có thể tùy chỉnh hoàn toàn trong Rational AppScan. Xem Tải xuống để xem tất cả các báo cào đã được tạo ra thông qua quy trình được tuân theo trong bài hướng dẫn này. Rational AppScan đi cùng với vô số định dạng báo cáo được xác định mặc định mà phù hợp với phần lớn các tiêu chuẩn hợp pháp quốc tế, và các yêu cầu điều tiết chi tiết ngành. Bao gồm cả Payment Card Industry Data Security Standard (PCI DSS), SOX, HIPPA, the OWASP Top Ten, WASC Threat Classification, ISO 17799/27001 và SANS Top Ten để đặt tên cho một số. Trước khi mua Rational AppScan, nên dành một chút thời gian để xem xem bạn định triển khai và sử dụng Rational AppScan trong môi trường của bạn như thế nào. Hơn nữa cũng cần phải hiểu rõ hệ thống cấp quyền sử dụng Rational AppScan, và hai phương pháp triển khai Rational AppScan điển hình. Cấp quyền sử dụng Rational AppScan hoạt động trên cơ sở "trên mỗi máy được cài" trái ngược với cơ sở "trên từng người dùng"; do vậy mà AppScan được cài và được gắn cho hệ thống cụ thể nhưng hệ thống này (và AppScan) có thể được nhiều người dùng sử dụng. Cấp quyền ứng dụng trói buộc ứng dụng Rational AppScan vào địa chỉ MAC của hệ thống chủ (phần cứng mạng) và số serie đĩa cứng. Do đó trước khi triển khai Rational AppScan hãy dành một chút thời gian xem xét và quyết định chiến lược cài đặt tốt nhất. Lựa chọn tiêu biểu đầu tiên là cài đặt Rational AppScan trên máy chủ "Test (kiểm tra)" trung tâm, mà cho phép quản lý và kiểm soát tốt việc sử dụng Ứng dụng. Kiểu chiến lược này được khuyến khích sử dụng nếu bạn định sử dụng Rational AppScan trong một môi trường kiểm tra riêng. Cài đặt Máy tính xách tay Việc cài đặt Rational AppScan trên một máy tính xách tay chuyên dụng mang đến độ linh hoạt cao hơn so với việc cài đặt máy chủ. Nếu bạn có kế hoạch sử dụng Rational AppScan trong nhiều môi trường kiểm tra trên các mạng khác nhau, thì nên áp dụng chiến lược được khuyến khích này. Trước khi hoàn thành chiến lược triển khai của bạn, bạn phải xem xem liệu việc sử dụng có chủ định Rational AppScan có nằm trong tinh thần của bản thỏa thuận cấp quyền sử dụng hay không. Ví dụ, việc mua một cấp quyền sử dụng Rational AppScan riêng để kiểm tra phát triển ứng dụng Web trong một vị trí cụ thể được xem là sử dụng chấp nhận được. Chú ý: Hệ thống cấp quyền sử dụng Rational AppScan được thay đổi để phù hợp với cơ cấu cấp quyền sử dụng IBM Rational chuẩn cuối năm 2008. Trong bài hướng dẫn này, bạn sẽ cài đặt và sử dụng Rational AppScan trên máy tính xách tay mà có nối mạng với hệ thống máy chủ Wealth Java Web Application (Ứng dụng Web Java Wealth) được tạo ở Phần 1. Tuy nhiên, Rational AppScan có thể được cài đặt trên hệ thống tương tự mà bạn đã dùng trong Phần 1, và chạy các lần quét cục bộ trên hệ thống đó. Cài đặt Rational AppScan Trong phần này bạn sẽ cài đặt ứng dụng Rational AppScan trên một máy tính xách tay. Có thể cài đặt và chạy Rational AppScan từ nền dựa trên Microsoft® Windows® hiện đại mà có cài Java Runtime. Các bước cài đặt Cài đặt ứng dụng Rational AppScan trên máy tính xách tay là một quy trình khá dễ dàng. 1. Nhấn chuột hai lần vào tệp cài đặt để khởi chạy thủ thuật InstallShield, như trong Hình 1. Hình 1. Khởi chạy thủ thuật InstallShield Nếu cài đặt dò tìm ra Microsoft .NET Framework 2.0 hoặc phiên bản cao hơn không được cài đặt, mà đó lại là một yêu cầu, thì quá trình cài đặt sẽ cài đặt Microsoft .NET Framework 3.0 trước khi tiếp tục quá trình cài đặt. 2. Đọc và nhấn chuột I accept the terms in the license agreement (Tôi chấp nhận các điều khoản trong thỏa thuận cấp quyền sử dụng) và nhấn Next. Hình 2. Thỏa thuận cấp quyền sử dụng 3. Chấp nhận danh mục cài đặt mặc định. [...]... vi ứng dụng Web, và liệt kê các tệp ứng dụng Web và URL để quét Tiếp đến Rational AppScan sắp xếp từng phần ứng dụng Web với một tia quét khiếm khuyết ứng dụng Web, như lựa chọn trong chính sách Khi Scan (Quét) đang chạy, hãy chọn View > Scan Log Bạn có thể nhìn thấy chi tiết quét cụ thể Trong Hình 22 , bạn có thể nhìn thấy các đăng nhập người dùng tự động đang hoạt động (đánh dấu bằng màu xanh), các. .. là lúc lấy ứng dụng của bạn ra để chạy thử, và tiếp đến là chạy một quét trên ứng dụng Wealth Chuẩn bị ứng dụng Web để chạy thử Trong bài hướng dẫn này bạn đã cài đặt Rational AppScan lên trên một hệ thống khác với trạm làm việc mà bạn vừa cài Rational Application Developer, Data Studio, và sau đó phát triển Ứng dụng Web Java Wealth Java trong Phần 1 (xem Tài nguyên) Nếu bạn thiếu phần cứng, có thể cài... Rational Application Developer và bạn có thể quét cục bộ ứng dụng Web Wealth bằng cách nhập http://localhost:9080/wealth/ như là URL quét Xin phép trước khi quét Trước khi sử dụng AppScan để quét một ứng dụng Web, hãy chắc chắn là bạn đã xin được phép quét từ chủ sở hữu của trang Web Điều này đặc biệt quan trọng khi quét các ứng dụng Web bên ngoài các môi trường kiểm tra của bạn Việc quét trang Web của... chạy thử các ứng dụng Web phòng ngừa các khiểm khuyết bảo mật mới nhất Để quy trình cập nhật hoạt động, trạm làm việc Rational AppScan hoặc máy chủ của bạn phải có kết nối Internet Quy trình cập nhật này cần cho công việc sau khi cài đặt và về sau có thể được thực hiện đều đặn Cũng có thể tải các cập nhật một cách thủ công từ cổng hỗ trợ khách hàng dành cho các nhà phát triển làm việc trong các môi... cờ là một khiếm khuyết Cross-Site Script (XSS) Các chi tiết được tạo trên ô cửa sổ phía dưới cùng bên phải (xem Hình 25 ) Đúng là ý hay khi mở rộng kích thước ô cửa sổ này tại điểm này Hình 25 Tìm hiểu một vấn đề bảo mật được phát hiện Lời khuyên Trong phần Lời khuyên, Rational AppScan giải thích cặn kẽ đầy đủ chi tiết loại khiếm khuyết bảo mật mà nó đã phát hiện ra Trong trường hợp này, nó là một khiếm... lượng đĩa cứng của hệ thống mà AppScan được cài đặt Tệp cấp quyền được tạo trực tuyến khóa quyền sử dụng và cài đặt ứng dụng AppScan đối với một hệ thống riêng biệt 5 Để tìm các chi tiết này, tại một dấu nhắc DOS (chạy cmd trong Windows), kiểu ipconfig/all, mà hiển thị địa chỉ MAC của thẻ mạng của bạn Sau đó chạy vol, mà hiển thị số seri dung lượng ổ đĩa cứng Điền vào các chi tiết hệ thống phần phía... Nếu bạn cần cấu hình các cài đặt ủy nhiệm để truy cập máy chủ ứng dụng Web mục tiêu, thì có một lựa chọn ở phía cuối màn hình này thực hiện việc đó Thay vì sử dụng các địa chỉ IP, ứng dụng Web mục tiêu của bạn có thể là địa chỉ Internet đầy đủ hoặc tên miền nội tại Nếu có các vấn đề về ủy nhiệm, bạn nên vào màn hình này và thay đổi các cài đặt Hãy chú ý là AppScan không hỗ trợ các ngoại lệ ủy nhiệm... (đăng nhập) vào ứng dụng Web Wealth của bạn như một người dùng thường xuyên Bạn có vài lựa chọn cho mình, một là được nhắc, tức là mỗi lần Rational Appscan tìm thấy một trang đăng nhập, nó sẽ dừng quét và hiển thị trang đó trên màn hình của bạn Tiếp đến bạn đăng nhập như thể bạn là một người dùng, Rational AppScan ghi lại các chi tiết đăng nhập đó và sau đó sử dụng chúng để đăng nhập vào ứng dụng Web và... chọn các lựa chọn tự động Cung cấp cho Rational AppScan các chi tiết truy cập trước khi bắt đầu quét và lưu chúng trong mẫu quét của bạn để dùng cho các lần quét sau này 1 Chọn nút radio Tự động trong Hình 17, và tiếp đến nhập tên người dùng là tyler và mật khẩu của tyler (hoặc bất kỳ tên người dùng và mật khẩu nào mà đã sử dụng khi phát triển Wealth Java App trong Phần 1 2 Bạn có lựa chọn cấu hình các. .. hợp trạm làm việc Rational Application Developer có một địa chỉ IP là 1 92. 168.0.4, vì thế URL của bạn là http://1 92. 168.0.4:9080/Wealth/login.jsp Khi được mở, hãy kiểm tra xem ứng dụng Web Wealth có chạy tốt không, bằng cách đăng nhập và nhấn vào một vài đường liên kết để chắc chắn là mọi thứ có đáp lại như nó cần phải thế Bây giờ bạn biết là ứng dụng Web Wealth đang hoạt động và có thể nhìn bằng thiết . Tạo các ứng dụng bảo mật Java một cách hiệu quả, Phần 2 Tối đa hóa bảo mật trong ứng dụng Web Java với Rational AppScan David Whitelegg, Tác giả, Freelance Writer Tóm tắt: Đây là phần. một ứng dụng Web quản lý tài sản dựa trên Java một cách hiệu quả.  Trong Phần 2, bạn sẽ tận dụng rất nhiều tính năng Rational AppScan có sẵn để củng cố, hoặc bảo mật, ứng dụng Java bằng cách. hai phần viết về việc tạo các ứng dụng Web bảo mật dựa trên Java sử dụng Rational® Application Developer, Data Studio và Rational AppScan. Trong Phần 1 bạn đã phát triển một ứng dụng Web Java

Ngày đăng: 07/08/2014, 10:20

TỪ KHÓA LIÊN QUAN

w