「主要」標籤

掃描配置 > 探索選項 >「主要」標籤。

在此標籤中,選取 AppScan 將用於掃描的「探索」方法,以及配置適用於兩種方法的選項。
探索方法
ADAC 針對掃描的「探索」階段使用兩個相異的方法。您可以選取任一項或兩者皆選。這兩種方法,「要求型探索」通常會比「動作型探索」快速。當選取兩者時(預設建議值),會先執行「動作型探索」,但有 30 分鐘的時間限制,然後再接著執行「要求型探索」。
頁面結構 (DOM) 過濾功能
這些功能可以識別非常類似於已掃描頁面的那些頁面,因此您可以放心忽略,掃描時間也因而大幅降低。
掃描限制
這些功能決定了 ADAC 探索您應用程式的深度(或速度)。
其他設定
這些是用來配置用戶端,以辨識特定的伺服器編碼,以及傳送特定的 user-agent 標頭。

設定

詳細資料

探索方法

動作型

使用 Google Chrome 瀏覽器版本來掃描網站(如同使用者的行為),按一下瀏覽器中可看到的鏈結。這種方法對於使用新技術(例如 JavaScript 和階段作業儲存),以及 RIA、單一頁面應用程式 (SPA) 或 AngularJS 的網站特別有效率。

要求型

根據 AppScan 探索的所有頁面內容來傳送要求。這包含使用瀏覽器的使用者所看不到的內容(例如註解中的鏈結),但攻擊者可以看到。

頁面結構 (DOM) 過濾功能

根據結構 (DOM) 過濾類似的頁面

AppScan® 會比較新頁面與已掃描頁面的結構 (DOM) 相似性,以指出新頁面不含需要額外測試的新鏈結或內容。例如,在商業網站上,一個型錄可能會有包含數千種不同產品的個別頁面,但所有其他方面都相同。通常不需要掃描所有這些頁面。根據 DOM 相似性加以過濾可以大幅降低掃描時間。

依預設,這兩個勾選框都會選取。掃描之後,您應該檢查掃描結果的「已過濾」標籤,以查看是否有獨特的要求誤被掃描過濾掉。如果發生這種情況,您應該嘗試「過濾較少頁面」選項(這會維持固定且較低階的過濾功能),或一併停用 DOM 過濾功能。

結果的「已過濾」標籤中會有三種類型的已過濾項目:
  • 類似的 DOM:這表示已從掃描過濾掉某個頁面,因為其結構 (DOM) 與先前探索過的頁面類似,可能不含要測試的新元素。
  • 可能類似的 DOM:這表示完全未傳送某個要求,因為 AppScan 預估該回應的結構 (DOM) 與先前探索的頁面相同,且不含任何要測試的新元素。
  • 類似的主體:這表示某個要求(來自由於類似的 DOM 而過濾的頁面)已從掃描過濾掉,因為其回應主體內容與先前探索之要求的回應主體內容類似。
掃描之後,您應該檢查掃描結果的「已過濾」標籤,以查看是否有獨特的要求誤被掃描過濾掉。如果發生這種情況,您應該清除「過濾可能重複的頁面」選項(下一個選項),或清除這個勾選框以一併停用 DOM 過濾功能。

根據結構 (DOM) 過濾可能類似的頁面

這項設定會從掃描中過濾掉「可能類似的 DOM」頁面(請參閱上述說明)。如果會誤將唯一的要求從掃描中過濾掉,您應該清除這個勾選框。

掃描限制

冗餘路徑限制

AppScan 存取相同路徑的次數不會超出指定的次數。

如果特定路徑似乎含有不同參數,可以造訪特定路徑若干次。這個限制主要與 Script 相關。依預設是不選取,因為在大部分情況下,選取上述的根據結構 (DOM) 過濾重複的頁面勾選框,便足以控制掃描時間。

點按深度限制

AppScan 不會掃描點按超出指定的鏈結數目才能存取的頁面。

頁面總數限制

如果選取,AppScan 存取的數量不會超過定義的頁面數上限。請注意,每一頁可能已探索多個 URL。

其他設定

編碼

AppScan 通常會自動偵測應用程式的編碼方法,因此依預設會選取自動偵測

如果掃描「結果」中的回應內容似乎已損毀,這可能表示未正確識別編碼方法。如果要解決這個問題,請從下拉清單選取正確的編碼方法。

使用者代理程式

HTTP 要求中的 user-agent 標頭會告訴伺服器是哪種類型的用戶端傳送該要求,這可能影響伺服器所傳回的內容。舉例來說,可能是行動電話特定的內容,亦即,只有在使用者代理程式是行動電話瀏覽器時才會傳送的內容。為了讓 AppScan 能夠測試這類內容,您需要將它配置成傳送適當的 user-agent 標頭。

AppScan 通常會自動偵測使用者代理程式,因此,依預設會選取自動偵測。不過,如果您使用的瀏覽器不是內建瀏覽器,且未記錄登入程序、多步驟作業或手動探索,AppScan 將無法自動偵測使用者代理程式,而必須手動選取。

如果要變更使用者代理程式,請從下拉清單中選取代理程式。

如果要輸入自訂內容,請按一下編輯按鈕,並輸入內容。當您關閉對話框時,按鈕名稱會變更為自訂使用者代理程式

如需其他詳細資料,請參閱user-agent 標頭