Déploiement d'un agent IAST Java
Vous pouvez déployer un agent IAST sur le serveur d'applications qui prend en charge les applications Java, .NET, Node.js ou PHP. Cette section explique comment créer un type d'agent Java sur votre serveur Web.
Avant de commencer
Le moyen le plus simple et le plus efficace d'utiliser IAST consiste à le déployer en tant que servlet de fichier
WAR
sur votre serveur Web. Lorsque cela n'est pas possible, par exemple lors de l'exécution d'IAST sur une structure Quarkus, l'agent IAST peut être installé en tant qu'agent Java, en utilisant un fichier JAR
.Support : Seuls les serveurs d'applications Web qui exécutent JRE/JDK 1.8 ou version ultérieure sont pris en charge.
- Si le serveur sur lequel IAST est en cours d'exécution se trouve derrière un proxy :
- Pour un proxy transparent, utilisez l'une des propriétés Java suivantes lors de l'exécution du serveur :
- Propriétés Java standard :
-Dhttps.proxyHost={proxy_ip} -Dhttps.proxyPort={proxy_port}
- Propriétés Java personnalisées :
-DIast.proxyHost={proxy_ip} -DIast.proxyPort={proxy_port}
- Variables d'environnement :
IAST_PROXY_HOST={proxy_ip} IAST_PROXY_PORT={proxy_port}
- Propriétés Java standard :
- Si un certificat est nécessaire pour communiquer en externe (par exemple, pour transmettre un proxy transparent), fournissez un certificat valide et exécutez la commande suivante pour l'importer dans le fichier de clé :Remarque : Si vous avez installé JRE avec les paramètres par défaut, le nom du fichier de clé est
cacerts
et il est protégé par le mot de passechangeit
. Sinon, remplacez les valeurs-storepass
,-keystore
et-file
par vos propres valeurs.keytool.exe -import -storepass "changeit" -keystore "C:\Program Files (x86)\Java\jre1.8.0_144\lib\security\cacerts" -alias certificate.cer -file "C:\certificate.cer" -noprompt
- Pour un proxy transparent, utilisez l'une des propriétés Java suivantes lors de l'exécution du serveur :
- Pour les versions de l'agent IAST antérieures à la version 1.14.2, si à la fois la phase de compilation et les versions Java d'exécution sont des versions 9 ou supérieures, ajoutez l'indicateur suivant à la commande d'exécution Java :
–Djava.lang.invoke.stringConcat=BC_SB
Procédure
- Téléchargez l'agent IAST Java ASoC, comme décrit ici.
- Extrayez le contenu du fichier ZIP.
-
Déployez l'agent IAST en tant que servlet WAR ou que fichier JAR :
Déployer en tant que servlet WAR :
- Localisez
Secagent.war
à la racine du fichier ZIP extrait : - Suivez les instructions pour votre serveur.
- Serveur Tomcat/Serveur Jetty : Copiez Secagent.war dans votre dossier
webapps
ou déployez-le comme vous le feriez pour n'importe quel autre servlet WAR. - Serveur WebSphere : Déployez Secagent.war comme vous le feriez pour n'importe quel autre servlet WAR.Remarque : Veillez à :
- déployer l'agent en tant qu'application Web, et non en tant qu'application d'entreprise
- sélectionner
/Secagent
en tant que racine de contexte
- Serveur WebSphere Liberty/Serveur Open Liberty : Copiez Secagent.war dans votre dossier
dropins
ou déployez-le comme vous le feriez pour n'importe quel autre servlet WAR. - Serveur JBoss/WildFly/Serveur JBoss EAP : Copiez Secagent.war dans le dossier deployments ou déployez-le comme vous le feriez pour n'importe quel autre servlet WAR.
- Weblogic : Déployez Secagent.war comme vous le feriez pour n'importe quel autre servlet WAR.
- Serveur Tomcat/Serveur Jetty : Copiez Secagent.war dans votre dossier
- Pour vérifier le déploiement, ouvrez un navigateur et accédez à :
La page Secagent s'ouvre et indique que l'agent a été chargé avec succès. Au fur et à mesure que vous utilisez ou testez votre application (en effectuant des tests fonctionnels, un examen dynamique ou en explorant l'application manuellement), l'agent IAST surveille les demandes au fur et à mesure de leur envoi et signale les problèmes de sécurité qu'il trouve.http://<server address>/Secagent
Utilisez cette méthode de déploiement lorsqu'il n'est pas possible de déployer l'agent IAST en tant que fichier WAR. Par exemple, lors de l'exécution d'IAST sur une structure Quarkus. Dans cette méthode de déploiement, l'agent IAST s'exécutera en tant qu'agent Java.
- Dans le dossier
jar_deployment
, localisezsecagent.jar
. - Ajoutez l'indicateur suivant à votre ligne de commande d'application :
-Djavaagent:<path to secagent.jar>
- Pour vérifier le déploiement, recherchez dans
stdout
les messages commençant par «[IAST Secagent]
».
- Localisez
Exécution d'un agent Java avec le gestionnaire de sécurité
Pourquoi et quand exécuter cette tâche
Vous pouvez exécuter l'agent Java avec le gestionnaire de sécurité :
- En tant que fichier WAR sur Tomcat ou
- En tant que fichier jar sur des serveurs autres que Tomcat. Contactez l'équipe de support AppScan pour obtenir des conseils.
Pour exécuter l'agent Java avec le gestionnaire de sécurité en tant que WAR sur Tomcat :
Procédure
-
Localisez le fichier catalina.policy.
Le fichier catalina.policy se trouve généralement dans le répertoire de configuration d'installation Tomcat. Le chemin exact peut varier en fonction de votre système d'exploitation et de la version Tomcat.
- Ouvrez le fichier catalina.policy dans un éditeur de texte.
-
Localisez le bloc « grant ».
Recherchez un bloc commençant par le mot-clé « grant » suivi d'une ou plusieurs déclarations « permission ».
-
Ajoutez les droits requis comme suit :
- Enregistrez le fichier catalina.policy.
- Redémarrez le serveur Tomcat pour appliquer les modifications.