Rational AppScan Tester Edition è progettato per consentire alle organizzazioni di distribuire la responsabilità per i test di sicurezza tra più committenti e per consentire agli utenti di testare le vulnerabilità come gli script tra siti, le eccedenze di buffer e l'inserimento di SQL nel ciclo di vita di distribuzione dell'applicazione Web.
I test di sicurezza devono essere eseguiti in un ambiente di pre-produzione, come ad esempio un server di staging o un server Quality Assurance. Ciò consente di contenere al meglio i rischi associati all'esecuzione di scansioni di sicurezza. L'ambiente di pre-produzione deve rispecchiare il più possibile l'ambiente di produzione: l'applicazione deve avere gli stessi file eseguibili in entrambi gli ambienti in modo da sapere che si sta testando l'applicazione in maniera completa.
L'esecuzione di una scansione di sicurezza in un ambiente di produzione non è consigliato a causa dei rischi associati alle scansioni. A volte, potrebbe essere necessario eseguire una scansione di un ambiente di produzione per essere conformi ai requisiti di controllo, per rilevare se sono stati effettuati degli accessi non autorizzati al proprio sito o per verificare che si stia utilizzando il processo SDLC per l'integrazione delle scansioni di sicurezza. Indipendentemente dal motivo, è preferibile iniziare la scansione di un ambiente di pre-produzione e spostare quindi la scansione nell'ambiente di produzione. Ciò garantisce che i test di sicurezza diffondano meno rischi sui server.
Gli attacchi basati su browser utilizzano le imperfezioni del codice dell'applicazione basata su Web. Il software più vulnerabile a questi tipi di attacchi include:
Le scansioni di sicurezza devono essere integrate nel proprio processo Software Development Lifecycle (SDLC) in modo da poter rilevare i problemi legati alla sicurezza prima che arrivino all'ambiente di produzione.
Per ulteriori informazioni, fare riferimento al centro informazioni di Rational AppScan Tester Edition.