带 IAST 代理的 OWASP 基准
OWASP 基准项目是一个 Java 测试套件,旨在评估软件漏洞检测工具。HCL AppScan IAST Java 代理完全符合 OWASP 基准。
过程
要使用 AppScan IAST Java 代理运行 OWASP 基准:
- 在 https://github.com/OWASP-Benchmark 下载或 git-clone BenchmarkJava and BenchmarkUtils。
-
打开命令提示符,通过 cd 转至 BenchmarkUtils 目录,然后运行
mvn install -DskipTests。 - 在 AppScan Enterprise 中:启动 IAST Java 会话并下载代理 zip,如 下载 Java IAST 代理程序并将其部署在 Web 服务器上 中所述。
- 解压缩 ZIP 文件的内容。
-
在提取的 JAR 中,找到
jar_deployment文件夹中的secagent.jar,并将其复制到BenchmarkJava\tools\HCL。 -
打开命令提示符,运行
runBenchmark_wHCL.bat,然后等待一段时间,直到显示消息“[信息] 按 Ctrl-C 以停止容器...”。 -
打开另一个命令提示符并运行
BenchmarkJava\runCrawler.bat。 -
爬行完成后,按 CTRL+C 停止 Benchmark Tomcat 实例。当系统询问
“终止批处理作业 (Y/N)?”时,输入 N。 -
运行
BenchmarkJava\createScorecards.bat测试结果可以在
BenchmarkJava\scorecard\Benchmark_v1.2_Scorecard_for_HCL_AppScan_IAST_v{IAST_version} 文件中找到图:OWASP 基准 v1.2 结果对比
