El software Rational AppScan Tester Edition está diseñado para ayudar a las organizaciones con la distribución de responsabilidades para las pruebas de seguridad entre varias partes interesadas y para ayudar a los usuarios en sus pruebas en busca de vulnerabilidades de seguridad como scripts de sitios cruzados, desbordamientos del almacenamiento intermedio o inyección SQL en forma temprana en el ciclo de vida de entrega de la aplicación web.
Las pruebas de seguridad deberían realizarse en un entorno previo a la producción, como por ejemplo, en un servidor intermedio o en un servidor Quality Assurance. Esto ayuda a contener mejor los riesgos asociados con la realización de exploraciones de seguridad. El entorno de pre-producción debería reflejar el entorno de producción lo mejor posible (la aplicación debería tener los mismos archivos ejecutables en ambos entornos) de modo que usted sepa que está ejecutando exhaustivamente la aplicación expuesta.
No se recomienda realizar una exploración de seguridad en un entorno de producción debido a los riesgos asociados con estas exploraciones. A veces, podría ser necesario explorar un entorno de producción, tal vez para cumplir requisitos de auditoria, detectar si su sitio ha sido atacado por piratas informáticos o para validar el hecho de que se está usando el proceso SDLC de integración de exploraciones de seguridad. Independientemente de las razones, es mejor comenzar por la exploración de un entorno de pre-producción y luego pasar a la exploración de su entorno de producción. Esto ayudará a asegurar que las pruebas de seguridad expongan a sus servidores a un riesgo menor.
Los ataques basados en navegadores usan defectos en el código de aplicaciones basadas en web. El software más vulnerable a este tipo de ataques incluye:
Las exploraciones de seguridad deberían integrarse con el proceso de su Ciclo de vida de desarrollo de software (SDLC) de modo que le permitan capturar problemas de seguridad antes de que lleguen al entorno de producción.
Para obtener más información, consulte el centro de información de Rational AppScan Tester Edition.