灵脉IAST安全测试使用说明V3版本文档提供了关于企业内部使用的安全测试工具的详细操作指南。该文档对于在IT环境中确保网站和应用程序的安全性至关重要。以下是主要知识点的详细解读:
1. 项目管理和任务创建:
- 使用该平台进行安全测试之前,必须先创建项目,避免使用默认项目,以确保与TPD平台的数据对接顺利。创建项目时,需根据实际业务涉及的域名,将它们作为资产信息录入,便于区分和管理。
- 在创建项目后,可以添加检测任务,任务需明确标识版本号,以便跟踪和追溯。
2. 访问地址和账号管理:
- 安全测试通过HTTPS协议访问,访问地址是<https://ebgiast.iflysec.com/login>,同时提供了代理服务器的IP地址(172.30.92.158)和端口(9091)。账号开通需要联系指定的安全专员,例如邓云霞、张丽和袁秀群,他们分别负责不同的产品线或部门。
3. 扫描过程:
- 扫描任务可以在"任务管理终端流量代理"中添加,支持多种场景,包括Web、H5类网站,Android、iOS和小程序,以及PC端全局代理。用户需实时操作网站,扫描过程中点击的动作会被记录并生成报告。
- 可以随时暂停或结束任务,扫描结束后点击生成报告,获取测试结果。
4. HTTPS证书管理:
- 文档提供了针对火狐、谷歌和360浏览器的HTTPS证书安装步骤。对于安卓设备,以华为手机为例,证书安装后无需重启即可生效。苹果设备在导入证书后需重启浏览器确认安装状态。
5. 浏览器端代理配置:
- 不同浏览器(如火狐、谷歌和360)需要在各自的设置中配置代理服务器的地址和端口,确保安全代理的正确接入。
6. 注意事项:
- 不推荐使用平台扫描外部网站,尤其是大型公共网站,以防数据泄露或污染。同样,生产环境的安全测试需要特别谨慎,避免对生产环境造成不必要的影响。
这份使用说明文档详细地指导了灵脉IAST安全测试的各个环节,从项目设置到扫描流程,再到证书安装,确保了安全测试的高效执行和数据的安全性。企业IT人员在实际操作中,应严格按照文档中的指导进行,以最大程度地保护公司的网络安全。