a) Giới thiệu công cụ
Đây là một phần mềm quét mã nguồn, đƣợc IBM giới thiệu ngày 22/9/2008 sau khi đƣợc mua lại và cải tiến phần mềm của hãng Watchfire, đƣợc thiết kế để phát hiện ra các lỗi bảo mật khi chƣơng trình đang trong giai đoạn phát triển.
Phần mềm AppScan của Watchfire có thể tìm lỗi ngay khi ứng dụng có thể chạy đƣợc. Vì vậy nó có thể phát hiện ra các lỗ hổng suốt quá trình phát triển phần mềm. Trong IBM AppScan, các công cụ phân tích mã nguồn đƣợc tích hợp với Rational IDE (Integrated Development Environment), giúp các nhà phát triển công cụ dễ dàng hơn. IBM Rational AppScan là một công cụ quét tự động đƣợc dùng để thực thi việc xác định các cách tấn công có thể có vào các ứng dụng web. AppScan quét qua các ứng dụng web, tìm ra các vần đề về bảo mật, làm các báo cáo về các vấn đề này và đƣa ra các hành động gợi ý sữa chữa.
Công cụ & giải pháp Appscan cung cấp:
57
-Chi tiết hóa các lời khuyên về bảo mật và đề nghị sữa chữa cho các nhà phát triển ứng dụng.
-Báo cáo bao quát các vần đề theo qui chế/định chế bảo mật của cơ quan/tổ chức -Ghi lại các khuyết điểm của ứng dụng vào hệ thống kiểm soát.
-Giám sát lỗi làm gia tăng khả năng nhìn thấy và quản trị đƣợc tính bảo mật xuyên suốt ứng dụng.
-Chạy các kiểm thử bảo mật ứng dụng web nhƣ một phần các kịch bản kiểm thử hồi qui.
Rational AppScan của IBM là một bộ sản phẩm bảo mật hàng đầu trên thị trƣờng dành cho việc kiểm tra khiếm khuyết ứng dụng Web. Sử dụng Rational AppScan có thể giúp bạn đảm bảo rằng bất kỳ ứng dụng Web đƣợc phát triển đều đủ an toàn để đƣa lên Internet. Rational AppScan là một công cụ quét mạnh và có thể tùy chỉnh đƣợc, và không chỉ đƣợc sử dụng trong quy trình kiểm tra và phát triển mà còn thƣờng xuyên đƣợc sử dụng bởi các kiểm toán viên bảo mật và nhân viên hợp cách để kiểm tra sự thâm nhập, và thậm chí cả các đội bảo đảm chất lƣợng và quản trị kinh doanh.
Chức năng chính của Rational AppScan là quét và kiểm tra các khiếm khuyết ứng dụng Web, và nó có thể tiến hành hàng ngàn kiểm tra tính bảo mật khiếm khuyết chẳng hạn nhƣ SQL Injection, Cross-Site Scripting (XSS) và Buffer Overflow. Các lần kiểm tra bảo mật trong Rational AppScan cũng đƣợc cập nhật thƣờng xuyên; các lần kiểm tra mới và các lần cập nhật kiểm tra đƣợc thêm vào danh mục kiểm tra Rational AppScan khi phát hiện ra các khiếm khuyết ứng dụng mới.
Cấp quyền sử dụng và các báo cáo của AppScan
Rational AppScan có chức năng báo cáo toàn diện đƣợc cài đặt sẵn, cho phép các kết quả quét đƣợc sao chụp lại thành cấu trúc báo cáo đã định dạng trong trong một tệp Adobe PDF. Các báo cáo này có thể tùy chỉnh hoàn toàn trong Rational AppScan. Rational AppScan đi cùng với vô số định dạng báo cáo đƣợc xác định phù hợp với phần lớn các tiêu chuẩn hợp pháp quốc tế.
Trƣớc khi mua Rational AppScan, nên dành một chút thời gian để xem xem bạn định triển khai và sử dụng Rational AppScan trong môi trƣờng của bạn nhƣ thế nào. Hơn nữa cũng cần phải hiểu rõ hệ thống cấp quyền sử dụng Rational AppScan, và hai phƣơng pháp triển khai Rational AppScan điển hình. Cấp quyền sử dụng Rational AppScan hoạt động trên cơ sở "trên mỗi máy đƣợc cài" trái ngƣợc với cơ sở "trên từng ngƣời dùng" do vậy mà AppScan đƣợc cài và đƣợc gắn cho hệ thống cụ thể nhƣng hệ thống này có thể đƣợc nhiều ngƣời dùng sử dụng. Cấp quyền ứng dụng trói buộc ứng dụng Rational AppScan vào địa chỉ MAC của hệ thống chủ (phần cứng mạng) và số serie đĩa cứng. Do đó trƣớc khi triển khai Rational AppScan hãy dành một chút thời gian xem xét và quyết định chiến lƣợc cài đặt tốt nhất
58