摘要： 本文将从对 Web 应用现状的分析入手，通过列举常见的攻击手段，阐明 Web 应用目前面临的挑战，同时，通过对 Rational AppScan 平台的介绍，协助企业制定 Web 应用安全解决方案，为企业的 Web 应用披上盔甲。 前言 当今世界，Internet(因特网)已经成为一个非常重要的基础平台，很多企业都将应用架设在该平台上，为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上，都在不断的完善和提高，然而在非常重要的安全性上，却没有得到足够的重视。由于网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击上。根据 Gartner 的最新.. 阅读全文

摘要： 应用及传输安全WEB应用系统的安全性从使用角度可以分为应用级的安全与传输级的安全，安全性测试也可以从这两方面入手。应用级的安全测试的主要目的是查找Web系统自身程序设计中存在的安全隐患，主要测试区域如下。l 注册与登陆：现在的Web应用系统基本采用先注册，后登录的方式。A. 必须测试有效和无效的用户名和密码B. 要注意是否存在大小写敏感，C. 可以尝试多少次的限制D. 是否可以不登录而直接浏览某个页面等。l 在线超时：Web应用系统是否有超时的限制，也就是说，用户登陆一定时间内（例如15分钟）没有点击任何页面，是否需要重新登陆才能正常使用。l 操作留痕：为了保证Web应用系统的安... 阅读全文

摘要： 场景一：AppScan标准版本8.0.0.3或更高版本设置第一步：配置使用浏览器a.[工具]>[选项]>[高级]> OpenExternalBrowserb.OpenExternalBrowser值：0=AppScan的浏览器(默认值)，1=IE浏览器(Internet Explore), 2=Firefox, 3=Chrome浏览器第二步：扫描向导，新建[常规扫描]a. 新建扫描 [文件] > [新建] > [常规扫描]b.按向导提示一步一步操作即可，配置完成后c.如果选择的是“手动探索启动”，将弹出第一步配置的浏览器场景二：AppScan标准版本8.0.0.2 阅读全文

摘要： Cookie，有时也用其复数形式Cookies，指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据（通常经过加密）。定义于RFC2109（已废弃），最新取代的规范是RFC2965。基本信息Cookie最早是网景公司的前雇员Lou Montulli在1993年3月的发明。Cookie是由服务器端生成，发送给User-Agent（一般是浏览器），浏览器会将Cookie的key/value保存到某个目录下的文本文件内，下次请求同一网站时就发送该Cookie给服务器（前提是浏览器设置为启用cookie）。Cookie名称和值可以由服务器端开发自己定义，对于JSP而言也可以直 阅读全文

摘要： 定义简单对象访问协议（Simple Object Access Protocol，SOAP），是一种轻量的、简单的、基于XML的协议，它被设计成在WEB上交换结构化的和固化的信息。webService三要素(SOAP, WSDL (Web Services Description Language),UDDI( Universal Description Discovery and Integration ))之一, soap用来传递信息的格式, WSDL 用来描述如何访问具体的接口, uddi用来管理,分发,查询webService 具体实现可以搜索 Web Services简单实例 ; S 阅读全文

摘要： ARP(Address Resolution Protocol)地址解析协议 它是用于映射计算机的物理地址和临时指定的网络地址。启动时它选择一个协议(网络层)地址，并检查这个地址是否已经有别的计算机使用，如果没有被使用，此结点被使用这个地址，如果此地址已经被别的计算机使用，正在使用此地址的计算机会通告这一信息，只有再选另一个地址了。 SNMP(Simple Network Management P)网络管理协议 它是TCP/IP协议中的一部份，它为本地和远端的网络设备管理提供了一个标准化途径，是分布式环境中的集中化管理的重要组成部份。 BGP4(Border Gateway Proto... 阅读全文