一次性密碼 (OTP)

如果應用程式需要,請將 AppScan® 設定為在登入時使用 OTP。

如果您的應用程式使用 OTP,請選取下列兩個選項之一,否則請保留預設設定:無。

當您記錄登入程序時,AppScan 會從流量擷取相關參數,並新增到「自動表單填入」清單中。此外,也會顯示在 OTP 視圖的下半部。如果 AppScan 無法識別參數,您必須在這個視圖或「自動表單填入」視圖中自行新增。
限制:
  • 每次掃描都只支援一個 OTP 類型(TOTP 或 URL 產生的)。
  • 若為 TOTP,僅支援數值。
選項 說明:

TOTP

對於時間型的一次性密碼,您必須將下列項目提供給 AppScan:
  • 秘密金鑰
  • 密碼長度(字元數)
  • 使用的雜湊演算法(從下拉清單中選取)
  • 時間步驟(以秒數為單位)
提示: AppScan 機器和測試伺服器上的時間必須都很精確。

URL 產生的 OTP

如果可以從指定的 URL 存取 OTP,您可以將 AppScan 設定成從 URL 的回應中擷取 OTP。您必須將下列項目提供給 AppScan:
  • URL
  • 正規表示式,用來識別 URL 回應中的 OTP。

網站不使用 OPT,或不需要掃描使用 OTP 的頁面。

詳細資料

OTP HTTP 參數

如果您已選取其中一個 OTP 類型,當您驗證「已記錄的登入」程序時,AppScan 會識別流量所需的必要參數,並新增至「自動表單填入」清單中。必要參數也會顯示在這裡。

如果 AppScan® 無法識別參數,或如果您使用「自動登入」,則必須自行新增參數。參數必須以逗點區隔。

如何識別 OTP HTTP 參數

AppScan 需要知道包含 OTP 的參數名稱(以便能夠登入應用程式),並且通常會在驗證「已記錄的登入」程序時識別它。如果無法這樣做,或如果您使用「自動登入」,則必須自行新增參數。

若要識別參數,請執行下列動作:
  1. 開啟瀏覽器,並移至應用程式的登入頁面。
  2. 按一下 F12 以開啟瀏覽器的開發人員工具窗格(在主要瀏覽器窗格的右側或下方開啟)。
  3. 按一下「元素」標籤以檢視 HTML 程式碼。

    選取程式碼的一部分時,會在主要瀏覽器窗格中強調顯示該元素。

  4. 尋找強調顯示 OTP 欄位的元素。
    範例:
    <input type="text" name="OTPvalue" value="">
  5. name 參數的值(不含引號)是您需要的 OTP HTTP 參數。
    範例:
    OTPvalue
  6. 如果有多個 OTP HTTP 參數,請以逗點區隔它們。