部署 .NET IAST 代理程序
您可以在支持基于 Java、.NET、Node.js 或 PHP 的应用程序的应用程序服务器上部署 IAST 代理程序。 本部分说明如何在 Web 服务器上创建 .NET 代理程序类型。
关于此任务
过程
-
配置 NuGet 包源:
- 打开 Visual Studio,然后浏览到菜单 > 工具 > 选项 > NuGet 程序包管理器 > 程序包源。
-
选择包含
SecAgent
包的文件夹。 - 单击 + 号,并为新源命名。
- 识别网络服务器项目:IAST 代理程序只能安装在通常负责提供 Web 内容(例如 ASP.NET Core 或 ASP.NET MVC 项目)的网络服务器项目上。通过查找文件(如 Startup.cs、Controllers 或 wwwroot 文件夹)来识别这些项目。
-
安装 IAST 代理程序 NuGet:在解决方案资源管理器中,右键单击 Web 服务器项目,然后选择管理 NuGet 包。搜索
com.HCL.AppScan.IAST.agent
并选择结果中的第一个包。单击安装。针对解决方案中的每个网络服务器项目重复此步骤。 -
设置环境变量(仅适用于 .NET Core):如果您使用的是 .NET Core,请设置以下环境变量:
"ASPNETCORE_HOSTINGSTARTUPASSEMBLIES": "SecagentCore"
-
验证安装:
- 对于 .NET Framework:打开 web.config 文件并确保添加了以下行:
<system.webServer> <modules> <add name="SecagentModule" type="Secagent.SecagentModule" preCondition="managedHandler" /> </modules> </system.webServer> ... <appSettings> <add key="IASTAgentKey" value="<key to access asoc app>" /> <add key="IASTHost" value="https://cloud.appscan.com/IAST/" /> <add key="IASTActive" value="true" /> </appSettings>
- 对于 .NET Core:确保已将 asoc-config.json 文件添加到项目的根文件夹。
代理程序现在已安装完成。当您使用或测试应用程序(运行功能测试、动态扫描或手动探索应用程序)时,IAST 代理程序会监控请求,并报告其发现的安全问题。