安装Glass Box代理程序

安装玻璃盒代理程序

目前版本的玻璃代理程序主要支持主流 Java EE 应用程序服务器（如 JBoss，Tomcat，WebLogic 和 WebSphere）。玻璃盒代理程序可以自动化安装，但考虑到 Java EE 应用服务器的配置通常较为复杂，为支持客户手工部署需求，玻璃盒代理程序也可以手动安装。AppScan 的用户手册中有详细的解释和示例。简而言之，玻璃盒代理程序安装主要包括 Java 代理程序包的配置和代理应用 WAR 包文件的部署。下面笔者在本机 Tomcat 环境中自动安装玻璃盒代理程序。

1. 打开文件夹"C:\Program Files (x86)\IBM\Rational AppScan\Glass box"，双击 GB_Setup.exe 程序启动安装。（因为笔者是在本地安装，所以直接执行这个安装程序。如果应用服务器不在本机，则需要将这个文件夹的内容拷贝到应用服务器所在电脑上，确保文件访问权限正常后，再执行这个文件。）

图 2. 选择应用服务器

1. 选择 Apache Tomcat 后，点击"下一步"，安装程序会提示指定 Tomcat 所在路径，譬如"D:\apache-tomcat-6.0.32"，然后点击"下一步"。

1. 安装程序提示设置代理程序凭证，这里的用户名和密码将来需要记录到 AppScan 中，AppScan 利用这个帐号跟代理程序进行通信。

图 3. 设置代理程序的访问帐号

最后确认安装文件夹位置，点击"安装"完成代理程序的安装。安装程序会帮助你验证代理程序是否安装成功。我们也可以手工通过浏览器来验证：在浏览器中输入"http://localhost/GBootStrap/ "（读者需根据本机 Tomcat 的配置修改机器名和端口），如果系统提示输入密码，则输入步骤三提供的帐号，查看到"Glass Box API"的话，即说明安装成功。

注册玻璃盒代理程序

点击菜单"工具"-"Glass Box 代理程序管理"，打开管理界面，点击"+"按钮，注册刚才安装的玻璃盒代理程序，如图 4 所示。然后点击"确定"关闭对话框即可。

图 4. 注册玻璃盒代理程序

启用玻璃盒代理程序

当扫描某个应用服务器上的 Web 站点时，我们可以在扫描配置中启用安装在这台应用服务器上的玻璃盒代理程序。缺省情况下，AppScan 会自动启用目标应用服务器上已注册好的代理程序。在"扫描配置"对话框中，选择"探索 -Glass Box"即可看到配置项，如图 5 所示。

图 5. 启用玻璃盒代理程序

案例

下文笔者将针对本地的一个应用使用 AppScan 进行两次扫描，两次测试都扫描相同的站点，第一次不启用玻璃盒扫描，第二次启用玻璃盒扫描，其他配置完全相同。我们来看看两次扫描结果的区别。

首先笔者使用 AppScan 测试本地的 wavsep 程序：

1. 点击"文件"-"新建"，使用"常规扫描"模板，设置"Web 应用程序扫描"。起始 URL 设置为"http://localhost/wavsep/index-active.jsp"，登录方法选择"无"，使用"开发者精要"测试策略。
2. 因为 AppScan 默认会启用玻璃盒代理，这里笔者暂将之停用。点击"完全扫描配置"，在"Glass Box"选项中，禁用"在探索阶段使用 Glass Box"和"在测试阶段使用 Glass Box"。点击确定，启动全面自动扫描。
3. 扫描完成后观察状态栏，我们可以看到已访问的 URL 是 315 个。测试共发现 66 个安全问题，如图 6 所示。

图 6. 停用玻璃盒测试的扫描结果

接下来，笔者启用玻璃盒代理，然后点击"扫描"-"重新扫描（全面）"，利用玻璃盒测试重新扫描上述站点。结果如图 7 所示。启用玻璃盒测试后，AppScan 探索出 398 个 URL，测试发现 70 个安全问题。由此可见，启用玻璃盒扫描后，AppScan 的探测能力增强，发现了更多的安全问题。

图 7. 启用玻璃盒测试的扫描结果

总结

玻璃盒测试技术是 IBM 发布的一项领先混合测试技术，它综合了黑盒安全测试和白盒安全测试的两者之长，克服了传统黑盒安全测试的不足，增强了 AppScan Standard 的探索能力，提高了扫描效率和结果准确性。本文笔者跟读者分享了玻璃盒测试技术的原理，介绍了 AppScan 中玻璃盒测试的使用方法，同时结合案例，跟读者演示了停用玻璃盒测试和启用玻璃盒测试两种场景下的测试结果，通过这两个测试结果的对比，让读者更直观领略到玻璃盒测试技术的领先。鉴于笔者经验有限，若有不及之处，欢迎读者来信交流。