带 IAST 代理的 OWASP 基准

OWASP 基准项目是一个 Java 测试套件,旨在评估软件漏洞检测工具。HCL AppScan IAST Java 代理完全符合 OWASP 基准。

过程

要使用 AppScan IAST Java 代理运行 OWASP 基准:
  1. 从克隆BenchmarkJavaBenchmarkUtilshttps://github.com/OWASP-Benchmark
  2. 打开命令提示符,切换到BenchmarkUtils目录,然后运行​​mvn install -DskipTests
  3. 在 AppScan Enterprise 中:启动 IAST Java 会话并下载代理 zip,如 下载 Java IAST 代理程序并将其部署在 Web 服务器上 中所述。
  4. 提取zip文件的内容。
  5. 在提取的JAR中,找到jar_deployment文件夹中的secagent.jar并将其复制到BenchmarkJava\tools\HCL
  6. 从命令提示符运行runBenchmark_wHCL.bat ,然后等待一段时间,直到显示消息“ [INFO] Press Ctrl-C to stop the container...”
  7. 打开另一个命令提示符并运行 BenchmarkJava\runCrawler.bat
  8. 抓取完成后,按Ctrl+C停止Benchmark Tomcat实例。当询问“终止批处理作业(是/否)?”时,输入N
  9. 运行 BenchmarkJava\createScorecards.bat

    测试结果可以在 BenchmarkJava\scorecard\Benchmark_v1.2_Scorecard_for_HCL_AppScan_IAST_v{IAST_version} 文件中找到

    图:OWASP 基准 v1.2 结果对比