高效率创建安全的Java应用, 第2部分

高效率创建安全的Java应用, 第2部分2012-01-14 IBM David Whitelegg使用 Rational AppScan 最大化 Java Web 应用程序的安全性

本文是系列教程的第 2 部分，主要内容是使用 Rational® Application Developer、Data Studio 和 Rational AppScan 创建安全的基于 Java® 的 Web 应用程序。在第 1 部分中，您已经使用 Rational Application Developer 开发了一个 Java Web 应用程序，然后在 WebSphere Application Server 上部署了这个用 Java Server Pages （JSP）技术开发的应用程序。

在您开始之前

本文适用于 Web 应用程序开发人员、 Web 应用程序测试人员、质量保证团队、信息安全专业人员和任何希望确保自己的 Web 应用程序免受所有已知的网络安全性攻击的人们。本教程将向您介绍如何使用 IBM Rational AppScan 实现这一目标。

关于本系列

这两篇教程的目标是通过 Rational Application Developer、Data Studio 和 Rational AppScan 的使用，增强您的 Web 应用程序开发技能。

第 1 部分使用 Rational Application Developer 和 Data Studio 的 pureQuery 特性，有效地创建了一个基于 Java 的 Wealth 管理 Web 应用程序。

在第 2 部分中，您将充分利用许多 Rational AppScan 所提供的特性，加强或者确保 Java 应用程序的安全性，并且修补发现的缺陷。

关于教程

本教程将向您介绍如何安装、配置和使用 Rational AppScan 来扫描第 1 部分中所创建的 Java Web 应用程序。您将使用 Rational AppScan 扫描来确保您的 Web 应用程序远离网络安全性攻击的困扰。通过本文的学习，您将了解到如何实现：

定制一份扫描模板；

执行一次扫描；

解释扫描结果，并且从中获得信息；

生成扫描报告；

使用 Rational AppScan 扩展；

本教程以对 Web 应用程序安全性的概述开始。概述中解释了使用 Rational AppScan 的重要性，即确保能够在应用程序开发过程中消除网络安全性缺陷。另外，我们还介绍了 Rational AppScan 的部署和许可证，从而帮助您最大限度的使用 Rational AppScan 的各项功能。

系统需求

为了完成本文中的各个操作步骤，您需要：

一份 IBM Rational AppScan Standard Edition。一份完整的或者临时的 Rational AppScan 许可证。Rational AppScan 的试用版本只允许查找一个默认的网站。您可以与您的 IBM Rational 销售商联系，获得一份临时的短期 Rational AppScan 许可证。

一台能够同本系列教程第 1 部分的工作站或者服务器相连接的笔记本电脑。

Rational AppScan 和 Web 应用程序的安全性概述

在本小节中，我们将看到 Web 应用程序安全性的一般状态，以及 Rational AppScan 在增强网络程序的安全性中所发挥的作用。

网络程序安全性概述

随着因特网上 Web 应用程序和 Web 2.0 的爆发，越来越丰富的 Web 应用程序的功能性导致了从未有过的庞大和复杂的 Web 应用程序的产生，尤其是在电子商务网站和社会网络站点上面。与此同时，另一种趋势也日渐突出，那就是 Web 应用程序中的代码缺陷越来越受到黑客的攻击。

有证据显示，与传统的发生在网络层上面的攻击所不同的是，在 Web 应用程序层上面的攻击数量呈现上升趋势。任何面向网络解决方案的网络基础构造同以往一样的重要，但是我们现在已经到达了一个新的平台。因此，黑客现在已经将他们的关注点放到了安全缺陷更加丰富的区域，即 Web 应用程序中的代码。黑客将目标直指由 Web 应用程序所控制的高价值的数据。

考虑到周围的防火墙，它提供了抵御网络层攻击的保护措施，但是网络防火墙几乎还没有提供抵御 Web 应用程序层缺陷的保护措施。举例来说，防火墙可能只允许 https 网络访问 Web 服务器，但是防火墙并没有检查实际的 HTML Web 应用程序中的内容，而这些内容有可能正式问题所在。这种影响是巨大的，即使是 Web 应用程序代码中最细微的缺陷（例如输入框中的合法性），也会导致业务上的致命缺陷，并由此产生经济上和客户信誉度的重大损失。

黑客攻击 Web 应用程序代码的典型后果就是使得攻击者跳过登录系统，盗取用户网络会话，直接查询、访问和操纵后台数据库。

针对 Web 应用程序的缺陷发起攻击的风险是现实存在的，特别是当应用程序的数据同高价值的业务相关联的时候（例如：支付卡信息），即使是敏感的个人数据也是具有出售价值的。由于数据被破坏，导致法定的、调节的和工业的标准需要征收大量的罚金。请您牢记，一旦将 Web 应用程序放到因特网上，那么任何人就都有能力对其进行访问，这其中当然包括那些可恶的黑客。这些黑客有足够多的时间发现和探索 Web 应用程序代码中的缺陷和弱点。考虑到本教程中所创建的 Web 应用程序具有一个财务主题和敏感的信息，所以在将其发布之前确保 Wealth Web 应用程序没有缺陷是一件十分重要的事情。

考虑到这一背景以及日益增加的数据安全性要求，开发一个没有安全缺陷的 Web 应用程序是一个非常关键的需求和基本目标。在这个教程中，您将使用 IBM 的 Rational AppScan 确保第 1 部分中所创建的 Wealth Java Web 应用程序远离安全性缺陷，确保 Web 应用程序足够安全地被放置在因特网上面。