OWASP Benchmark avec l'agent IAST
Le projet OWASP Benchmark est une suite de tests Java conçue pour évaluer les outils de détection de vulnérabilités logicielles. L'agent Java HCL AppScan IAST est entièrement conforme au OWASP Benchmark.
Procédure
Pour exécuter OWASP Benchmark avec l'agent AppScan IAST Java :
-
Cloner
BenchmarkJava
etBenchmarkUtils
à partir dehttps://github.com/OWASP-Benchmark . -
Ouvrez une invite de commande, accédez au répertoire
BenchmarkUtils
et exécutezmvn install -DskipTests
. - Dans AppScan Enterprise : démarrez une session IAST Java et téléchargez le fichier zip de l'agent comme décrit dans Téléchargement et déploiement d'un agent IAST Java sur le serveur Web.
-
Extrayez le contenu du fichier
zip
. -
Dans le
JAR
extrait, localisezsecagent.jar
dans le dossierjar_deployment
et copiez-le dansBenchmarkJava\tools\HCL
. -
À partir d'une invite de commande, exécutez
runBenchmark_wHCL.bat
et attendez quelques instants jusqu'à ce que le message «[INFO] Appuyez sur Ctrl-C pour arrêter le conteneur... »
s'affiche. -
Ouvrez une autre invite de commande et exécutez
BenchmarkJava\runCrawler.bat
. -
Une fois l'analyse terminée, appuyez sur Ctrl+C pour arrêter l'instance Benchmark Tomcat. À la question
« Terminer le travail par lots (O/N) ? »
, entrez N . -
Exécutez
BenchmarkJava\createScorecards.bat
Les résultats des tests peuvent être trouvés dans :
Fichiers BenchmarkJava\scorecard\Benchmark_v1.2_Scorecard_for_HCL_AppScan_IAST_v{IAST_version}
Figure : Comparaison des résultats OWASP Benchmark v1.2