web應(yīng)用安全測試IBM APPscan

IBM APPscan是一款由IBM打造的web應(yīng)用安全測試工具，這款軟件可以幫助開發(fā)者進(jìn)行應(yīng)用的安全漏洞評估工作，幫助組織緩解應(yīng)用安全風(fēng)險、增強(qiáng)應(yīng)用安全計劃并實現(xiàn)合規(guī)。安全和開發(fā)團(tuán)隊能夠在整個應(yīng)用生命周期中協(xié)作、制定策略并擴(kuò)展測試。

軟件介紹：

IBM AppScan該產(chǎn)品是一個領(lǐng)先的 Web 應(yīng)用安全測試工具，曾以 Watchfire AppScan 的名稱享譽(yù)業(yè)界。Rational AppScan 可自動化 Web 應(yīng)用的安全漏洞評估工作，能掃描和檢測所有常見的 Web 應(yīng)用安全漏洞，例如 SQL 注入（SQL-injection）、跨站點(diǎn)腳本攻擊（cross-site scripting）、緩沖區(qū)溢出（buffer overflow）及最新的 Flash/Flex 應(yīng)用及 Web 2.0 應(yīng)用曝露等方面安全漏洞的掃描。
個人認(rèn)為appscan掃描太慢，不如WVS掃描快，可配合使用

功能特色：

可擴(kuò)展的應(yīng)用安全測試

可擴(kuò)展的企業(yè)架構(gòu)能支持多個應(yīng)用安全測試人員。AppScan Enterprise 提供用于測試 Web、非 Web 以及移動應(yīng)用的方法，包括動態(tài)、靜態(tài)和交互性分析。它可以基于 IBM X-Force 數(shù)據(jù)庫，對網(wǎng)站進(jìn)行掃描，尋找惡意網(wǎng)站鏈接，結(jié)合動態(tài)和靜態(tài)的分析技術(shù)，識別客戶端 JavaScript 中的漏洞。它還可以匯總動態(tài)和靜態(tài)分析，提供增強(qiáng)的報告功能。

測試策略、掃描模板和提供建議

AppScan Enterprise 支持策略定義和掃描模板以監(jiān)管應(yīng)用安全測試。它可以提供漏洞建議、修復(fù)建議和內(nèi)置培訓(xùn)視頻，對開發(fā)團(tuán)隊進(jìn)行培訓(xùn)。AppScan Enterprise 通過新的高級應(yīng)用掃描和修復(fù)功能、企業(yè)應(yīng)用安全狀態(tài)指標(biāo)、關(guān)鍵法規(guī)合規(guī)性報告以及與 IBM Security AppScan Standard 的無縫集成，提供集中控制。

詳細(xì)的安全性報告和企業(yè)級儀表板

AppScan Enterprise 幫助按照業(yè)務(wù)影響對應(yīng)用資產(chǎn)進(jìn)行分類和優(yōu)先排序，確定高風(fēng)險區(qū)域。您可以清晰了解由已確定的漏洞導(dǎo)致的安全性和合規(guī)性風(fēng)險，并通過績效指標(biāo)顯示進(jìn)度。

基于風(fēng)險的應(yīng)用安全管理

借助 AppScan Enterprise 9.0 或更高版本，組織可以根據(jù)自己的策略對風(fēng)險進(jìn)行定義。衡量應(yīng)用上的風(fēng)險可能取決于多個因素，例如訪問、業(yè)務(wù)影響或安全威脅的重要性等。這些因素可以進(jìn)行定制并編入 AppScan Enterprise 的計算。管理員可以定義風(fēng)險衡量規(guī)則，然后根據(jù)風(fēng)險級別對應(yīng)用進(jìn)行自動分類或排序，幫助他們利用更少資源做出可靠決策。