带 IAST 代理的 OWASP 基准
OWASP 基准项目是一个 Java 测试套件,旨在评估软件漏洞检测工具。HCL AppScan IAST Java 代理完全符合 OWASP 基准。
过程
要使用 AppScan IAST Java 代理运行 OWASP 基准:
-
从克隆
BenchmarkJava
和BenchmarkUtils
https://github.com/OWASP-Benchmark 。 -
打开命令提示符,切换到
BenchmarkUtils
目录,然后运行mvn install -DskipTests
。 - 在 AppScan Enterprise 中:启动 IAST Java 会话并下载代理 zip,如 下载 Java IAST 代理程序并将其部署在 Web 服务器上 中所述。
-
提取
zip
文件的内容。 -
在提取的
JAR
中,找到jar_deployment
文件夹中的secagent.jar
并将其复制到BenchmarkJava\tools\HCL
。 -
从命令提示符运行
runBenchmark_wHCL.bat
,然后等待一段时间,直到显示消息“[INFO] Press Ctrl-C to stop the container...”
。 -
打开另一个命令提示符并运行
BenchmarkJava\runCrawler.bat
。 -
抓取完成后,按Ctrl+C停止Benchmark Tomcat实例。当询问
“终止批处理作业(是/否)?”
时,输入N 。 -
运行
BenchmarkJava\createScorecards.bat
测试结果可以在
BenchmarkJava\scorecard\Benchmark_v1.2_Scorecard_for_HCL_AppScan_IAST_v{IAST_version} 文件
中找到图:OWASP 基准 v1.2 结果对比