部署 .NET IAST 代理程式

您可以在支援 Java、.NET、Node.js 或 PHP 型應用程式的應用程式伺服器上,部署 IAST 代理程式。 本節說明如何在 Web 伺服器上建立 NET 代理程式類型。

執行這項作業的原因和時機

使用 NuGet 套件管理程式,將 IAST 代理程式新增至您的應用程式。下列範例適用於 Visual Studio,但其他 IDE 的程序也類似如此。

程序

  1. 設定 NuGet 套件來源:
    1. 開啟 Visual Studio,導覽至「功能表 > 工具 > 選項 > NuGet 套件管理程式 > 套件來源」。
    2. 選取包含 SecAgent 套件的資料夾。
    3. 按一下 + 符號並為新的來源命名。
  2. 識別 Web 伺服器專案:IAST 代理程式只能安裝在您通常負責用來提供 Web 內容的 Web 伺服器專案上(例如:ASP.NET Core 或 ASP.NET MVC 專案)。尋找如 Startup.csControllers,或 wwwroot 資料夾等檔案來識別這些專案。
  3. 安裝 IAST 代理程式 NuGet:在「解決方案總管」中,於 Web 伺服器專案上按一下滑鼠右鍵,然後選取「管理 NuGet 套件」。搜尋 com.HCL.AppScan.IAST.agent,並選取結果中的第一個套件。按一下安裝。為解決方案中的每個 Web 伺服器專案重複此步驟。
  4. 設定環境變數(僅限 .NET Core):如果您使用 .NET Core,請設定下列環境變數:
    "ASPNETCORE_HOSTINGSTARTUPASSEMBLIES": "SecagentCore"
  5. 驗證安裝:
    1. 若為 .NET Framework:開啟 web.config 檔案,並確認已新增下列行:
    <system.webServer>
                                <modules>
                                  <add name="SecagentModule" type="Secagent.SecagentModule" preCondition="managedHandler" />
                                </modules>
                              </system.webServer>
                            ...
                              <appSettings>
                                <add key="IASTAgentKey" value="<key to access asoc app>" />
                                <add key="IASTHost" value="https://cloud.appscan.com/IAST/" />
                                <add key="IASTActive" value="true" />
                              </appSettings>
    1. 若為 .NET Core:確認已將 asoc-config.json 檔案新增至專案的根資料夾。
    現在代理程式已安裝完成。當您使用或測試應用程式(執行功能測試、動態掃描或手動探索應用程式)時,IAST 代理程式會監視其要求,並報告其發現的安全問題。