使用 IAST 代理程式執行 OWASP Benchmark

執行這項作業的原因和時機

OWASP Benchmark Project 是一種 Java 測試套件,專門用來評估軟體漏洞偵測工具。AppScan IAST Java 代理程式與 OWASP Benchmark 完全相容。

使用 AppScan IAST Java 代理程式執行 OWASP Benchmark

程序

  1. https://github.com/OWASP-Benchmark 複製 BenchmarkJavaBenchmarkUtils
  2. 開啟命令提示字元,切換至 BenchmarkUtils 目錄,並執行 mvn install -DskipTests
  3. ASoC 中:啟動 IAST Java 階段作業,並依 啟動 IAST 階段作業 中的說明下載代理程式 ZIP 檔。
  4. 解壓縮 zip 檔內容。
  5. 在解壓縮的 JAR 中,找出 jar_deployment 資料夾中的 secagent.jar,並將其複製到 BenchmarkJava\tools\HCL
  6. 從命令提示字元執行 runBenchmark_wHCL.bat,並等候一段時間,直到訊息 '[INFO] Press Ctrl-C to stop the container...' 顯示為止。
  7. 開啟另一個命令提示字元並執行 BenchmarkJava\runCrawler.bat
  8. 執行 BenchmarkJava\createScorecards.bat
    可在下列位置找到測試結果:

    BenchmarkJava\scorecard\Benchmark_v1.2_Scorecard_for_HCL_AppScan_IAST_v{IAST_version} files

    1. OWASP Benchmark v1.2 結果比較