Web服务安全及其与支付卡产业(PCI)资料安全标准的一致性是最高用户所关心的问题, Watchfire公司推出的 AppScan Web应用程序弱点评估软件的最新版本旨在解决这些问题。今天该公司声明,AppScan6.5版本以及AppScan开发版本(DE)提供了扩展的安全审核功能,它包括:集成的Web服务扫描技术以审核与PCI和ISO 17799以及27001标准的一致性报告功能。这个扫描工具也包括新增加的高级测试特性——用于协助审核人员和渗透测试。 “在简单应用程序采用锁死模式进行保护之后,我们看到Web 服务的保护成为与黑客战斗的新前线,&rdq……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
Web服务安全及其与支付卡产业(PCI)资料安全标准的一致性是最高用户所关心的问题, Watchfire公司推出的 AppScan Web应用程序弱点评估软件的最新版本旨在解决这些问题。今天该公司声明,AppScan6.5版本以及AppScan开发版本(DE)提供了扩展的安全审核功能,它包括:集成的Web服务扫描技术以审核与PCI和ISO 17799以及27001标准的一致性报告功能。这个扫描工具也包括新增加的高级测试特性——用于协助审核人员和渗透测试。
“在简单应用程序采用锁死模式进行保护之后,我们看到Web 服务的保护成为与黑客战斗的新前线,”Watchfire 公司的技术总监 Michael Weider 说,该公司位于马赛诸塞州的沃尔瑟姆市。
现在这家公司正在从Web服务的概念验证阶段向大规模开发阶段迈进,“关于Web 服务的安全问题,用户的关注程度在增加,并且也提出于越来越多的问题,” Weider说。“我们将看到更多的牵涉到安全问题和Web 服务的案例。”
由于所有的安全组织都已经涉及到了网络,因此要想危及网络安全是非常困难的,Weider说,因此黑客现在盯上了Web 站点本身和Web 应用程序。一旦Web 应用程序被保护,他说“黑客们将转移到下一个领域——攻击Web 服务的弱点。”
而且,仅仅符合WS-Security标准是远远不够的,Weider说。“这只是开始。这个标准只是意味着Web 服务能够在这个标准已知的范围内受到保护,但是新的攻击完全可能在未知的范围内危及Web 服务的安全,而且[黑客]所想的用例并非我们已经想到的。因此,符合[WS-Security]这个标准也无法低档这些新的攻击。”
“由于Web 服务需要机器对机器的交互,因此,确保那些与Web 服务相关的操作是准确无误的,这一点是非常重要的,” 国际数据机构(IDC)安全产品服务的研究主管Charles Kolodgy说,该机构位于马赛诸塞州的Framingham市。“即使你按照WS-Security标准构建Web服务,你仍然需要验证这些操作是否正确。”
AppScan 6.5版本发布了一个Web 服务资源管理器,该工具可以使用户探测在Web 服务中是否存在着不同的方法,并且可以通过手工输入数据来监测服务的反馈。AppScan 分析WSDL 文件,然后模拟应用程序对应用程序的互操作。该软件提供了大量的SOAP 测试方法,并且支持JavaScript的执行和解析以及Flash解析。
Weider说,Web 服务面临着很多与Web 应用程序相同的弱点,比如SQL注入,但是就此而言,Web 服务扫描还“没有对此进行关注。”然而,他补充说,“越来越多的人通过Web 服务应用程序互相协作、与合作伙伴进行贸易往来,这样的话,把Web 服务放在互联网上并允许人们自由使用就变得非常有风险。”
同时,Web 服务也在获得支持,信用卡产业已经采用了支付卡产业(PCI) 标准,并且增强了对应用程序安全性的关注。“支付卡产业(PCI) 在安全业内的影响相当大。它是衡量标准,因为任何一个人都可能在线收集信用卡信息,所以其应用程序的安全性是最大的安全问题之一,”Weider说。“显而易见,支付卡产业(PCI)对安全问题和协助处理弱点的自动化工具越来越关注,就这点而言,它在开发商社区的影响也非常大。”
因此,许多组织都已经从类似Watchfire公司这样的开发商那里寻求帮助,尤其是关于Section 6——需要解决开发、维护安全系统和应用程序这一方面的问题,Weider说。
审核渗透测试也需要更先进的自动化工具,Weider说,因此AppScan 6.5也包括一个令牌分析器,能够为Web 应用程序会话令牌提供各种的测试来确定应用程序防范会话截获的安全程度。而且,AppScan的新的身份验证测试工具是用来测试暴力密码破解的应用程序,它能够检测出为了进入Web 应用程序所使用的所有用户名密码组合。
应用程序的弱点评估工具,比如AppScan 是广泛的安全弱点管理(SVM)软件市场中的一部分,根据国际数据机构(IDC.)资料显示,该市场计划从2005年的13.7亿美金增长到2009年的31亿美金。在这个市场中,应用程序的弱点评估软件这一子类在2005年占6140万,计划到2009 年达到14530万,以25%的复合年增长速度。根据国际数据机构(IDC.)资料显示,目前,应用程序弱点评估软件的全世界市场份额中,Watchfire公司占有26.7%。
AppScan 6.5现在可以正式使用,价格从每个许可证1.5万美金起始,开发版从每个许可证1500美金起始。
作者
相关推荐
-
SOA的企业信息平台开发关键技术浅析
SOA是个很独特的架构,强调协作、复用、本地透明组件和网络之间的链接。它的特点体现在“可重用性”和“互操作性”能为企业解决多方面的问题。
-
OAuth协议获得网络服务安全协议授权
使用基于令牌(token-based)的安全模式,导致OAuth(开放授权)协议最近在安全和服务界备受瞩目。尽管OAuth并不是人人皆知的词语,但是也会逐渐为人们所熟知。最著名的OAuth应用就是Facebook平台。
-
全局XML Web服务体系结构概述
全局XML Web服务体系结构(Global XML Web Services Architecture,下面简称GXA)平台是一个新术语,包括Web服务交互领域的许多制定的新标准。
-
特别报道:Web服务安全
尽管很多团队把安全留到最后考虑,但对于确保Web应用的安全和终端用户的安全来说这是很重要的。安全的Web应用意味着使用安全的Web服务。