部署 .NET IAST 代理程式
您可以在支援 Java、.NET、Node.js 或 PHP 型應用程式的應用程式伺服器上,部署 IAST 代理程式。 本節說明如何在 Web 伺服器上建立 NET 代理程式類型。
執行這項作業的原因和時機
程序
-
設定 NuGet 套件來源:
- 開啟 Visual Studio,導覽至「功能表 > 工具 > 選項 > NuGet 套件管理程式 > 套件來源」。
-
選取包含
SecAgent
套件的資料夾。 - 按一下 + 符號並為新的來源命名。
- 識別 Web 伺服器專案:IAST 代理程式只能安裝在您通常負責用來提供 Web 內容的 Web 伺服器專案上(例如:ASP.NET Core 或 ASP.NET MVC 專案)。尋找如 Startup.cs、Controllers,或 wwwroot 資料夾等檔案來識別這些專案。
-
安裝 IAST 代理程式 NuGet:在「解決方案總管」中,於 Web 伺服器專案上按一下滑鼠右鍵,然後選取「管理 NuGet 套件」。搜尋
com.HCL.AppScan.IAST.agent
,並選取結果中的第一個套件。按一下安裝。為解決方案中的每個 Web 伺服器專案重複此步驟。 -
設定環境變數(僅限 .NET Core):如果您使用 .NET Core,請設定下列環境變數:
"ASPNETCORE_HOSTINGSTARTUPASSEMBLIES": "SecagentCore"
-
驗證安裝:
- 若為 .NET Framework:開啟 web.config 檔案,並確認已新增下列行:
<system.webServer> <modules> <add name="SecagentModule" type="Secagent.SecagentModule" preCondition="managedHandler" /> </modules> </system.webServer> ... <appSettings> <add key="IASTAgentKey" value="<key to access asoc app>" /> <add key="IASTHost" value="https://cloud.appscan.com/IAST/" /> <add key="IASTActive" value="true" /> </appSettings>
- 若為 .NET Core:確認已將 asoc-config.json 檔案新增至專案的根資料夾。
現在代理程式已安裝完成。當您使用或測試應用程式(執行功能測試、動態掃描或手動探索應用程式)時,IAST 代理程式會監視其要求,並報告其發現的安全問題。