Rational AppScan Tester Edition 软件旨在帮助组织在多个项目干系人之间分担安全测试的职责,并帮助用户在 Web 应用程序交付生命周期早期测试跨站点脚本编制、缓冲区溢出和 SQL 注入之类的漏洞。
安全测试应该在预生产环境中执行,如在登台服务器或“质量保证”服务器上。 这有助于您更好地控制与执行安全扫描关联的风险。 预生产环境应该尽可能全面地镜像生产环境 - 应用程序应该在两种环境中具有相同的可执行文件 - 以便全面地测试所显示的应用程序。
不建议在生产环境中执行安全扫描,因为存在与这些扫描关联的风险。 为了符合审计需求、检测您的站点是否被入侵,或者验证是否使用了 SDLC 过程来集成安全扫描,有时可能需要扫描生产环境。 无论如何,最好是先开始扫描预生产环境,然后再扫描生产环境。 这有助于减少安全测试对您的服务器造成的风险。
基于浏览器的攻击利用基于 Web 的应用程序代码中的缺陷。 最易受这些攻击类型攻击的软件包括:
应该将安全扫描集成到您的“软件开发生命周期(SDLC)”流程中,以便及早捕获安全问题,防止其危害生产环境。
有关更多信息,请参阅 Rational AppScan Tester Edition 信息中心。