在 Web 伺服器上下載和部署 Java IAST 代理程式

您必須在已測試應用程式的 Web 伺服器上下載和部署 IAST 代理程式,才能監視在執行時間所傳送的流量,並報告所發現的漏洞。

開始之前

  • 您必須已在 Web 伺服器上安裝已測試應用程式。
  • 您必須在 AppScan Enterprise「監視」視圖的「資產組合」標籤中建立應用程式。如需在 AppScan Enterprise 中建立應用程式的相關資訊,請參閱建立應用程式

執行這項作業的原因和時機

本節可協助您在已測試應用程式的 Web 伺服器上下載和部署 Java IAST 代理程式。

程序

  1. 登入 AppScan Enterprise Server。
  2. 移至監視頁面 > 產品組合索引標籤,以檢視可用的應用程式清單。
  3. 按一下您想要下載 IAST 代理程式的應用程式。
    這時會顯示應用程式伺服器頁面。如需建立應用程式的詳細資訊,請參閱建立應用程式
  4. 在左側窗格中,按一下 IAST 代理程式
    IAST 代理程式頁面隨即顯示在右側窗格上。
  5. 按一下建立新代理程式
    這時會顯示開始使用 IAST 頁面。
  6. 按一下建立新代理程式
    這時會顯示 IAST 代理程式建立頁面。
  7. 代理程式類型下拉清單中,選取開發測試應用程式所用的語言。
    註:
    IAST 功能支援 Java、.NET 和 Node.js 型應用程式。
  8. 代理程式名稱方塊中,針對您要為應用程式建立的代理程式輸入唯一名稱。代理程式名稱可能包含英數字元和特殊字元,且長度上限為 30 個字元。
  9. 按一下下載代理程式。這時會顯示檢查您的下載資料夾訊息,並且會將 AppScanIASTAgent 檔案下載至系統的預設下載資料夾。
  10. AppScanIASTAgent 檔案解壓縮至某個資料夾。
  11. 您可以使用下列其中一種類型的檔案來部署 JAVA IAST 代理程式:
    1. 使用 WAR 檔
    2. 使用 JAR 檔
    註:
    若為 JAVA IAST 代理程式,JAR 及 WAR 檔都具有相同的通訊記號,所以兩個代理程式都會與相同的 IAST 階段作業通訊。在某些應用程式使用 WAR,而其他應用程式使用 JAR 的實務範例中,這會有所幫助。
  12. 如果編譯時間和執行時間 Java 版本兩者均為第 9 版或更高版本,請將此旗標新增到 java 執行指令: –Djava.lang.invoke.stringConcat=BC_SB

結果

IAST 代理程式部署在已測試應用程式的 Web 伺服器上。您現在可以在應用程式的監視頁面檢視 IAST 代理程式偵測到的所有問題。

使用 WAR 檔部署 JAVA IAST 代理程式

程序

  1. 在已測試應用程式的 Web 伺服器上部署 Secagent.war
  2. 透過 IAST 代理程式已測試的應用程式進行互動(執行功能測試、執行「動態」掃描,或手動探索應用程式),以監控要求並報告安全問題。
    註:
    IAST 掃描不會傳送其要求。只有在要求是透過系統測試、手動探索或 DAST 掃描等傳送到您要測試的應用程式時,它才能發現問題。
  3. 移至應用程式的索引標籤視圖,並按一下左側窗格上的所有問題,以檢視與所發現安全漏洞相關的問題清單。
    註:
    您可以使用過濾器 Discovery Method=IAST 以僅檢視應用程式中的 IAST 問題。

使用 JAR 檔部署 JAVA IAST 代理程式

程序

  1. jar_deployment 資料夾中,找出 Secagent.jar
  2. Secagent.jar
  3. 請將下列旗標新增至應用程式指令行:-Djavaagent:<path to secagent.jar>
    範例:

    若為購物網站:

    
              java -javaagent:secagent.jar -jar ./shopping/target/shopping-0.9.0-SNAPSHOT.jar

結果

當您使用或測試應用程式(執行功能測試、執行動態掃描或手動探索應用程式)

使用安全管理器執行 Java 代理

執行這項作業的原因和時機

您可以使用安全管理器執行 Java 代理程式:

  • 作為 Tomcat 上的 war 檔或
  • 作為 Tomcat 以外的伺服器上的 jar 檔案。請聯絡 AppScan 支援團隊以取得指導。

要在 Tomcat 上使用安全管理器作為 war 運行 Java 代理程式:

程序

  1. 找到 catalina.policy 檔案。
    catalina.policy 檔案通常位於 Tomcat 安裝配置目錄中。確切的路徑可能會有所不同,具體取決於您的作業系統和 Tomcat 版本。
  2. 在文字編輯器中開啟 catalina.policy 檔案。
  3. 找到“授予”區塊。
    尋找以關鍵字「grant」開頭的區塊,後面跟著一個或多個「permission」語句。
  4. 新增所需的權限如下:
    1. 在「grant」區塊內,新增以下權限: 
      權限 java.lang.RuntimePermission "net.bytebuddy.*";
    2. 在文件末尾添加以下權限: 
      授予程式碼庫“文件:${catalina.base} /webapps/Secagent/-”{ permission java.security.AllPermission; } ;
  5. 儲存 catalina.policy 檔案。
  6. 重新啟動 Tomcat 伺服器以套用變更。