觀點

偵測Web應用程式弱點,白箱黑箱一起來

2009 / 03 / 09
張維君
偵測Web應用程式弱點,白箱黑箱一起來

網頁應用程式安全威脅不斷,除了XSS跨站指令碼攻擊、SQL Injection攻擊,不斷有針對網頁弱點的新攻擊手法出現,因此資安廠商試著從更全面的角度,如SDLC安全軟體開發生命週期,來提供安全防護。IBM收購自動化滲透測試工具Watchfire Appscan之後,將其納入IBM Rational平台,並於去年10月推出提供程式人員做原碼檢測的白箱測試工具,其四大產品線包括:AppScan Standard Ed(黑箱測試)AppScan Developer Ed(白箱測試)AppScan Reporting Console、和AppScan Enterprise

 

從黑箱跨足白箱,其在黑箱測試部分,日前發表Standard Ed 7.8版,新增自動掃描Flash網頁、運用Ajax技術之網站,並支援對SOA架構的掃瞄服務。而目前其白箱測試部分僅支援Java平台,預計下半年推出.Net版本。IBM軟體事業處亞太區Rational AppScan業務總監林福存指出,在2008年間所通報的安全威脅中,有超過半數與網頁應用相關,這些漏洞多半可透過應用程式弱點掃描予以防範或排除。因此,AppScan產品研發與X Force合作,持續將新攻擊手法的掃描防護納入產品當中。

 

Parasoft台灣區市場開發部經理陳柏宏認為,企業除黑箱/白箱靜態檢測外應重視能模擬動態的資料流分析,並且需做到迴歸測試。他指出,目前許多網頁應用程式的漏洞發生在軟體改版時,增加新功能之後在程式修改過程中卻發生錯誤,因此,支援迴歸測試的自動化掃描工具才能提供每個不同版本的掃描比較,方便程式人員debug,這對人員流動率高的開發團隊來說更有助益。