GSS資安電子報0111期【利用黑白箱安全檢測，降低應用程式資安風險】

資安在開發期及測試期的缺陷，損害只占上限期的100,000/1，由此可知資安在越前面的階段執行，損害代價越小：

1. 組織內的資安專家/設備,多專長在網路/作業系統/伺服器等基礎建設
2. 應用程式功能愈來愈多，架構愈來愈複雜，時程壓力又大，程式人員往往不瞭解/忽視安全問題
3. 即使被告知應用系統漏洞，可能也不曉得從何處理起
4. 處理應用程式安全問題變成上線的瓶頸
5. 無法密集委外檢測Web應用程式是否有新的漏洞
6. 網站是否符合政府/產業資安法規
7. 委外開發的Web應用程式，難以驗收其安全性

其實，在一般企業內部，懂得網路設備，作業伺服器等基礎建設資安的人比較多，而應用程式方面比較少，隨著程式架構越來越龐大，跟上線的時程越來越緊，程式設計師往往會忽略安全的問題，也不知從何著手，所以上線成為了安全的瓶頸，再加上漏洞是日新月異，企業也不太可能可以密集的委外掃描，這將是一筆龐大的支出。委外開發也需驗收其安全性。

利用AppScan強化應用程式體質

 (What) AppScan是什麼?

 AppScan是一套自動化弱點掃描工具，用來檢測Web應用程式的安全性，找出應用系統的資安漏洞，並一一提供詳盡的處理建議

(Why) 為什麼需要用AppScan?

簡化發現與修復Web應用程式安全性問題的工作，降低維護資訊安全的成本

 (How) AppScan如何辦到的?

黑箱測試：模擬各種駭客攻擊的手法，以無害的方式去測試運行中的Web應用程式，根據系統的回應，判斷系統是否存在各種安全性問題，並按照問題的輕重緩急順序，提供可立即處理問題的建議做法

特點：

● 檢測範圍較廣。無論後端使用什麼程式語言、運行在什麼平台、使用什麼DB都能檢測
● 就像駭客用工具找漏洞一樣，直接使用系統，準確度較高
● 不需提供任何程式碼
● 限制：以檢測Web系統和Web Service為主

白箱測試 (又稱源碼檢測)：分析提供的原始碼，以理論模式去判斷系統是否存在各種安全性問題，指出有安全問題的原始碼位置，並按照問題的輕重緩急順序，提供可立即處理問題的建議做法

特點：

● 找出程式碼的安全漏洞，直接點出有問題的程式碼，加快開發人員進行問題的修正
● 不侷限於Web系統
● 不需要先部署系統，讓系統運行
● 限制：工具必須完整認識受測系統採用的開發語言(例：Java，.NET，C++)及開發架構 (例：Struts，Spring)

所以這些AppScan特點可用來證明與測試專注於弱點或漏洞的掃描技術； AppScan是可以執行掃描一個站點的安全漏洞的自動化分析的工具。並所產生的報告上有關漏洞的問題，能有效提供有關如何解決問題的建議。它可用於由一個團隊的許多不同的成員包括資安管理人員，開發人員和測試人員。

範例: SQL Injection 盜取帳戶資料

基本上，標準流程的功能,我們可以從01/01號開始查詢所有的交易資料

但是，當我們了解到這樣的查詢功能，如同就是輸入sql指令一般的方式，所以我們在這例子上，可以嘗試輸入其他指令來執行動作，以此為例，我們加上了union來查詢額外的資訊，ex.USER表

•