使用 IAST 代理程序的 OWASP Benchmark

关于此任务

OWASP Benchmark Project 是一个 Java 测试套件,旨在评估软件漏洞检测工具。AppScan IAST Java 代理程序与 OWASP Benchmark 完全兼容。

使用 AppScan IAST Java 代理程序运行 OWASP Benchmark

过程

  1. https://github.com/OWASP-Benchmark 克隆 BenchmarkJavaBenchmarkUtils
  2. 打开命令提示符,切换到 BenchmarkUtils 目录,然后运行 mvn install -DskipTests
  3. ASoC 中:启动 IAST Java 会话并下载代理程序 zip,如 启动 IAST 会话 中所述。
  4. 抽取 zip 文件的内容。
  5. 在抽取后的 JAR 中,找到 secagent.jar jar_deployment 文件夹,并将其复制到 BenchmarkJava\tools\HCL
  6. 在命令提示符下,运行 runBenchmark_wHCL.bat,然后等待片刻,直到显示 '[INFO] Press Ctrl-C to stop the container...' 消息。
  7. 打开命令提示符并运行 BenchmarkJava\runCrawler.bat
  8. 运行 BenchmarkJava\createScorecards.bat
    测试结果可在以下位置找到:

    BenchmarkJava\scorecard\Benchmark_v1.2_Scorecard_for_HCL_AppScan_IAST_v{IAST_version} files

    1. OWASP Benchmark v1.2 结果比较