AppScan Web 应用程序安全扫描程序增强自 IBM 收购以来的第yi个主要版本， Watchfire 的 AppScan 测试了最xin版的漏洞， 并且能够更好地扫描诸如 Flash 和 Ajax 应用程序等困难的应用程序。

Weider 说， 这些功能满足了 "电源" 用户的需要， 但 AppScan 7.7 也帮助 IT 专业人员对应用程序安全性提出了新的要求。

他说: "越来越多的客户希望采用没有应用安全经验的应用程序扫描仪。"问题是许多扫描仪是为电力用户， 并可能是令人畏惧的那些没有知识。因此， 教育是一个巨大的问题， 以获得最jia使用的产品。

为了帮助教育 AppScan 的用户，appscan技术支持， Watchfire 一直在投资和创建一个在线图书馆。不仅如此， 它还将培训集成到产品中。"因此， 如果你不知道什么是 CSRF， 例如， 你可以教育自己， 如果发现了该怎么办，" Weider 说。

运行测试的人员还可以创建详细的报告， 其中包括对缺陷的说明、修复建议、示例源代码以修复缺陷以及指向联机培训的链接。然后， 此人可以将该报告提交给开发人员， 以修复该缺陷， 或者如果他有知识， 则自行解决问题。

IBM Rational AppScan 7.7 中的其他增强功能包括以下内容:

添加了新的扩展， 包括扫描专家扩展、主窗口中的可扩展面板， 以及保存手动发现的问题。IBM Rational AppScan 的扫描配置已体系， 以提高流程效率。该产品有44现成的合规报告。新的报告包括家庭教育权利和隐私权法案 (FERPA)， 信息自由和保护隐私权法案 (FIPPA) 和支付应用最jia做法 (PABP)。有关详细信息， 请访问 IBM Rational AppScan 的网站。

检测和开发跨站点

使用 XSS 分析器编写脚本

IBM 最近进行的研究表明， 41% 的

测试的 web 应用程序包含 xss 漏洞. 1 xss

已知的漏洞类型已超过十年。

尽管如此， 它仍然是第二 OWASP 前10网站

应用程序漏洞列表。

IBM 安全 AppScan 标准软件现在包括

具有检测和利用 XSS 漏洞的创新能力。xss

分析器提供了一些最xian进的技术

对于 XSS 测试， 从知识库中提取数百个

数以百万计的剥削。分析仪大大降低了

通过应用模拟的智能学习系统来扫描时间

准确有效地发现威胁的人类行为。与

XSS 分析仪， IBM 安全 AppScan 标准软件能够

快速查找和修复此重要漏洞。

执行动态分析

玻璃盒测试

IBM 安全 AppScan 标准软件提供玻璃盒测试，

这是一种集成的应用程序安全测试的形式

(上)。玻璃盒安全测试是最xin的发展

混合分析， 结合动态 (黑箱) 分析

使用监视的内部代理模拟安全攻击

攻击期间的应用程序行为。通过玻璃盒测试，appscan，

IBM 安全 AppScan 标准软件提供更准确

测试结果并确定传统的漏洞

动态测试无法识别。通过强大的组合

安全研究和玻璃盒测试， 软件

提供 OWASP 前10漏洞的全mian覆盖， 并

可以识别 non-reflected 的漏洞， 如命令

执行， SQL 注入， 文件包含， 轻量级目录

接入协议注入， 日志锻造等。

玻璃盒测试还有助于安全团队协作

提供精que"信息的开发组织

关于漏洞。通过玻璃盒测试， IBM 安全

AppScan 标准软件标识特定代码行和

提供有关应用程序在攻击过程中的执行方式的详细信息，

这有助于促进补救。因此， 领导

开发商在他们的早期部署玻璃盒测试

一个新的精que测试水平的开发周期不

可与传统的动态或静态分析。

执行混合分析

Javascript 安全分析器

在当今丰富的互联网上采用 Web 2.0 技术

应用程序将 Javascript 的角色扩展为技术， 如

作为 Ajax， Javascript 框架和 HTML5 变得更加

共同.大多数 web 应用程序都大量使用客户端

Javascript 代码， 这增加了有客户端的可能性

漏洞.IBM 最近进行的研究表明

大约40% 的 web 应用程序

测试了严重的客户端漏洞， 需要

手动代码检查， 以便通过渗透检测

测试仪2

为了应对这些新的风险， IBM 安全 AppScan 标准

软件包括静态污点的 Javascript 安全分析器

分析 Javascript 代码。Javascript 安全分析器检测

一系列客户端安全问题， 例如文档对象

基于模块 (DOM) 的 XSS， 客户端打开重定向， 客户端

SQL 注入和许多其他 HTML5-related 安全性

问题.此外， IBM 安全 AppScan 软件是

第yi个应用动态和静态应用程序安全性的扫描仪

在同一扫描中进行混合分析测试。

IBM云安全应用安全性使得扫描手机非常容易，

Web和桌面应用程序。用户只需选择哪种类型的应用程序

他们想扫描

基于云的解决方案

IBM云安全应用安全性允许您轻松

管理您的应用程序组合的安全风险

执行web和移动应用安全测试

云。该解决方案支持SAST和DAST分析

全mian的一体化服务。

IBM Application Security的认知优势

在云端：

●●●自动化：自动化测试使应用程序的安全性达到

您的安全方法的默认组件。

●●●速度：智能查找分析，也可用

IBM Security AppScan Source，使用机器学习

分析结果，智能地减少误报和

减少周转时间。

●●●覆盖：认知能力提高速度和深度

的扫描完全自动化DevOps测试。

云应用安全云咨询服务启用

组织利用IBM安全专家团队

指导和“礼宾”咨询服务。 IBM应用程序

云咨询服务的安全性提供了一个简单，

简化了扩展现有应用程序安全程序的方法

在正确的时间用正确的技能来帮助你

组织的应用安全功能达到新的高度。

解决方案功能

用于应用程序安全测试的IBM解决方案支持组织

在整个应用程序生命周期中管理安全性。

主要功能包括：

●●●可扩展应用程序安全测试 - AppScan可以帮助您

选择适合您组织的解决方案

添加组件以将其定制为应用程序安全性

程序成熟。

●●●可见性 - 通过应用程序风险仪表板，

AppScan提供企业级对安全状态的可见性

以及整个应用程序和流程的合规风险

组织。

●●●监管要求的管理 - 帮助满足

面临关键合规要求的组织的需求

与他们的Web应用程序相关联，AppScan使用户

从40多个预定义报告中选择并进行地图扫描

取得重要行业和监管合规标准。

●●●安全测试治理 - 通过AppScan，appscan在线咨询，您可以进行测试

策略和扫描模板，使您能够创建，appscan功能介绍，推送

并执行一致的安全策略，您可以使用它们

组织。

●●●发布修复 - AppScan创建一个完全优先的列表

每次扫描发现的漏洞，实现最gao优先级

问题首先要解决

●●●安全智能 - AppScan与其他软件集成

IBM Security产品进一步增强威胁评估

并确定安全问题的优先级。

应用测试

因为有不同的方法来应对安全性，

AppScan软件使用各种测试技术来实现

在应用的所有阶段进行深入的应用分析

生命周期。

appscan-华克斯-appscan在线咨询由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司（www.sinocax.com）是江苏 苏州 ,行业专用软件的企业，多年来，公司贯彻执行科学管理、创新发展、诚实守信的方针，满足客户需求。在华克斯领导携全体员工热情欢迎各界人士垂询洽谈，共创华克斯更加美好的未来。