使用外部用戶端記錄登入

開始之前

當您使用外部用戶端將要求送至應用程式時,不需要「起始 URL」,但是 ADAC 會在「探索」階段完成之後,定義自己的「起始 URL」。
註: 如果您的應用程式使用中間人防護措施,就不可能使用 ADAC 作為 Proxy 進行掃描。

執行這項作業的原因和時機

使用外部瀏覽器記錄登入可讓您教導 ADAC,使其瞭解要傳送哪些要求,讓 AppScan 可以在掃描期間登入。當您登入之後,AppScan 會識別階段作業內型樣,供日後用來驗證它仍然登入。

AppScan 必須全程都知道它在網站中是登入還是登出的狀態,如此才能正確評估網站的回應。在掃描期間,AppScan 會重複地傳送「階段作業內要求」,並檢查回應中是否包含「階段作業內偵測型樣」,以驗證是否仍為已登入的狀態。如果 AppScan 在頁面回應中找不到型樣,AppScan 即假設已登出,並嘗試重播登入序列以重新登入。這意味著在掃描期間通常會播放許多次的登入序列。因此,登入序列包含的步驟愈少愈好。「階段作業內」頁面如果是小頁面且不含追蹤參數或 Cookie 也會有幫助,因為這些因素也會明顯地增加掃描時間。

若要記錄登入:

程序

  1. 登入管理 > 登入標籤中,選取已記錄圓鈕。
  2. 按一下紅色「記錄」按鈕 > 外部用戶端 >,然後選取您用來登入的用戶端。
    選項敘述
    Postman ADAC 會開啟並自動將 Postman 配置為使用 ADAC 作為記錄 Proxy(IP 和埠)。接著 ADAC 會開啟其資料流量記錄器以記錄您從 Postman 傳送的要求。
    SoapUI ADAC 會開啟並自動將 SoapUI 配置為使用 ADAC 作為記錄 Proxy(IP 和埠)。接著 ADAC 會開啟其資料流量記錄器以記錄您從 SoapUI 傳送的要求。
    註: 配置變更會影響階段作業期間開啟的其他任何實例。因此,建議您在開始之前關閉任何開啟的實例,而且不要在您記錄時開啟任何實例。當您關閉 ADAC 時,SoapUI 也會關閉,且設定會變更回它們原先的設定。
    如果是 SSL,請參閱 利用 SoapUI 的 SSL
    其他 在以下情形選取此選項:如果您想要使用的用戶端已安裝在不同機器上,或者如果您在與 ADAC 相同的機器上使用 Postman 或 SoapUI 以外的用戶端。系統會要求您手動開啟和配置您的用戶端,以便使用 ADAC 作為 Proxy。

    如果是 SSL,請參閱 與其他外部用戶端的 SSL

    ADAC 「外部登入記錄器」會開啟,記錄您從用戶端傳送至 Web 服務的要求。如需詳細資料,請參閱外部登入記錄器

    如果您已選取 Postman 或 SoapUI,則它會開啟並且配置為使用 ADAC 作為記錄 Proxy。
    註: ADAC 只有在安裝於與 AppScan 相同的機器上時,才可以自動配置 Postman 或 SoapUI,否則您必須選取「其他」,並且在下一個步驟中自行配置用戶端。
    註: 如果是使用 SSL,您也必須遵循以下步驟:利用 SoapUI 的 SSL
  3. 如果您已選取外部用戶端 > 其他,請開啟您的用戶端,並且將其配置為使用資料流量記錄器最上方顯示的埠和 IP。如果用戶端位於與 ADAC 相同的機器上,請使用顯示的「本端 IP」,否則請使用「遠端 IP」。
    註: 如果是使用 SSL,您也必須遵循以下步驟: 與其他外部用戶端的 SSL
  4. 從用戶端傳送任何需要的要求,以便使用有效的使用者身分登入網站。當您登入時,傳送只能由已登入使用者傳送的其他要求。
    重要:
    • 若是 Web 服務,您必須在登入之後傳送其他要求,這樣 ADAC 才能識別階段作業內型樣。
    • 確認您傳送的資料流量已顯示在登入記錄器中。如果未顯示,請參閱資料流量記錄器疑難排解
  5. 在登入記錄器中,按一下停止記錄,然後按一下儲存以關閉。

    AppScan® 從登入要求擷取登入資訊,以供掃描期間使用。

    這時會開啟「階段作業資訊」對話框,顯示您記錄的登入要求,且 灰色鑰匙圖示會變成 綠色鑰匙圖示,表示階段作業內偵測在作用中。
    註: 如果鑰匙圖示變成紅色 紅色鑰匙圖示,就表示 AppScan® 已嘗試但無法識別階段作業內頁面中任何型樣,可供它在掃描期間用來確認是否未登出。如果發生這個情況,您需要為 AppScan® 識別「階段作業內型樣」;請參閱 選取「偵測型樣」對話框 以取得詳細資訊。在某些情況下,可能會出現更明確的訊息,其中含有這個「說明」中頁面的鏈結,供您進行問題疑難排解;請參閱登入疑難排解
  6. 如果要變更記錄的序列(比方說,如果要移除不必要的步驟),請參閱「檢閱和驗證」標籤
    提示: 一般來說,將使用者登入的 URL(其回應是第一個包含階段作業內型樣的項目)應該要標示「階段作業內」。不過,有時候您可能會想要選取稍後的 URL,同樣也包含階段作業內型樣,但是卻有頁面較小,或不包含追蹤參數或 Cookie 的優點。此外,含有使用者認證的 POST 要求,有時是讓您登入且最先含有階段作業內型樣的要求,但對階段作業內頁面而言,這是很差的選擇,因為階段作業內檢查每次都會傳送認證,導致階段作業回應中發生誤判。請參閱最佳化階段作業內偵測
  7. 如果要儲存新的登入序列,按一下確定
    提示: 如果您確定階段作業內頁面沒有追蹤參數或 Cookie,您可以將進階配置 > 階段作業管理:剖析階段作業內頁面設定變更為 "False",來改善掃描性能。請參閱進階配置

下一步

相關主題:

資料流量記錄器疑難排解

利用 SoapUI 的 SSL

多步驟作業