创建新扫描(完整配置)
为扫描提供起始 URL 和用户凭证,选择站点类型,并验证您关于扫描站点的许可权(如果先前未执行)。
开始之前
- 在扫描之前备份您的站点。
- 如果您尚未这样做,请为扫描创建应用程序。
- 验证 ASoC 您的许可权以扫描域(请参阅 验证域)
- 如果无法从因特网访问站点,而且 AppScan Presence 尚不存在于此服务器上:创建 AppScan Presence.
- 如果扫描实时生产站点,请先参阅 我在扫描实时生产站点时应该进行哪些更改?
过程
-
在特定应用程序页面上,单击创建扫描,然后选择动态 (DAST) 以打开向导。
您必须在下一步中输入扫描的起始 URL。可更改其他设置(下面的步骤 2 到 5)或保留这些设置的缺省值。完成后,单击审核和扫描(下面的步骤 6)。
-
URL 和域
设置
选项
URL
- URL 字段
- 输入扫描的起始 URL。对于 Web API,没有“起始”URL;在要扫描的服务的域中输入任何有效的 URL。
- 扫描演示站点
- 单击此链接可填写 AppScan 演示站点的 URL。这使您无需验证域即可运行扫描。在登录选项卡中,输入用户名
JSmith和密码Demo1234注: 只要您使用提供的完整 URL,运行演示站点扫描就不会计入您的许可证限制。如果您删除?mode=demo开关,扫描将计入您的限制。 - 仅包括此目录中及之下的链接
- 选中此复选框可排除扫描时可能被发现为链接的任何外部域、并行域或子域。清除此复选框后,扫描可以包括起始 URL 以外的域,并且必须验证这些域。有关更多详细信息,请参阅域验证示例
要测试的域
列出将包括在扫描中的所有域。您输入的起始 URL 将自动添加到此处。必须验证所有域,除非您的网络是专用网络并且您使用的是 Presence。
如果您的站点包含的域不是起始 URL 的域,并且您希望扫描它们,请单击添加其他域以添加它们。
每个域旁边的绿色复选标记表示已验证。对于尚未验证的域,请转到组织 > 域 > 验证新域。注: 最近删除了选择暂存或生产环境的选项,因为不再需要。有关更多信息,请参阅为什么我不能再指定要暂存或生产的环境?。 -
网络
设置
选项
类型
- 公共(缺省值)
- 您的站点在英特网上提供。
- 专用
- 您的站点未在因特网上提供。从连接的 Presence 列表中选择您的 Presence。
-
登录
设置
选项
登录
- 不需要登录(缺省)
- 如果属于以下情况,保持选择此设置:
- 无需登录/授权,或者
- (Web API)授权使用固定值或长期值,例如 API 密钥或固定持有者令牌
- 需要登录:用户名和密码
- 选择 ASoC 是否能够根据需要使用凭证登录而无需特殊过程。您还可以输入第三个凭证(可选)。例如:
PIN# = 1234。但是,使用第三个凭证需要 ASoC 支持团队干预,并且扫描可能需要更长时间。注: CAPTCHA 不受支持。提示: ASoC 建议使用测试凭证,而不是实际用户的凭证。此选项与 Web API 不相关。 - 需要登录:记录的登录
- 如果需要使用特殊登录过程,可选择此选项以上载 ASoC 在扫描期间登录应用程序时将使用的过程记录。您可以使用 AppScan Activity Recorder(另存为
CONFIG文件)或 AppScan(导出为LOGIN文件)进行记录。重要: 记录的登录序列必须包含以下请求:- 登录/授权请求
- 其他已登录/已授权请求。此“额外”请求可帮助 AppScan 识别成功授权并在测试应用程序时保持会话。
有关记录
CONFIG或LOGIN文件的详细信息,请参阅 记录流量 和 使用 AppScan Standard 记录登录。
HTTP 验证
除登录信息外,还指示应用程序是否需要 HTTP 认证(Negotiate、NTLM、Kerberos、ADFS、Basic 或 Digest)。输入用户名、密码以及域(可选),供 ASoC 在扫描期间使用。
-
一次性密码
设置
选项
使用 TOTP
如果站点需要基于时间的一次性密码供用户登录 (MFA),请选中此复选框 并填写对话框中的前四个字段,以便 AppScan 能够登录。- 密钥
- OTP 长度(位数)
- 使用的散列算法(从下拉列表中选择)
- 时间步长(以秒为单位)
注: TOTP 是此向导中唯一支持的 OTP。如需更多 OTP 选项,您可以在 AppScan Standard 中配置扫描并上载到 ASoC。使用 OTP 在 AppScan Standard 中配置扫描时,您必须使用基于操作的登录,而不是基于请求的登录。有关详细信息,请参阅 AppScan Standard 文档。OTP HTTP 参数(可选) 如果您在上一步中使用了“需要登录:记录的登录”,那么通常不需要此最后一个字段,因为在扫描开始时验证记录的登录过程时,AppScan 通常会识别 OTP 头本身。
如果您使用了需要登录:用户名和密码,那么必须在此处添加参数。如果有多个参数,请用逗号分隔这些参数。
可能的 OTP 头的示例:
OTPvalue -
探索
设置
选项
自动表单填充
ASoC 使用 AppScan Standard 缺省表单填充参数值在站点上填充和提交表单。重要: 如果您正在扫描实时生产站点,我们建议您禁用此功能。有关更多详细信息,请参阅 我在扫描实时生产站点时应该进行哪些更改?注: 如果您在 AppScan on Cloud 中关闭了自动表单填充和扫描,它将删除表单中填写的所有信息,但登录管理数据除外。在扫描过程中,AppScan 不会自动填写表单。将此扫描导入 AppScan Standard 时,将启用自动表单填充,但表单填充数据(登录管理除外)将为空。类型
- 自动探索
- AppScan 从起始 URL 开始自动爬取 Web 应用程序,以发现其将测试的页面。此选项与 Web API 无关;使用下一个选项。
- 在指导下探索
- 上载您自己的已记录探索阶段,供 AppScan 测试。您可以单独使用此功能,或配合自动“探索”阶段使用此功能。
在指导下探索
仅当您选择了根据指导进行探索时,此部分才会被激活。 上传记录
上载一个或多个
DAST.CONFIG流量文件。有关如何记录这些内容的详细信息,请参阅记录流量。对于 Web API,最佳选项通常是 HCL AppScan 流量记录器。文件设置
如果您流量文件中的各请求必须以您之前记录它们的特定顺序发送,请激活多步骤。此方法将大大增加扫描持续时间,因此应仅在必要时使用。要了解多步骤与常规根据指导进行探索间的区别,请参阅 在指导下探索。
要激活多步骤:- 对于每个上载的记录,单击文件名并将激活多步骤选项切换为开。
如何使用记录 - 除全自动“探索”阶段外,还会使用已记录的“探索”,并对其进行全面测试
- ASoC 自行运行自动探索阶段以发现应用程序,并基于这些结果以及您上载的流量文件对其进行测试。此选项与 Web API 无关;使用下一个选项。
- 仅分析和测试已记录的“探索”
- ASoC 将上载的文件视为扫描程序的探索阶段。它仅会分析并创建针对已记录的流量的测试,然后对其进行测试。将没有自动探索阶段。
-
通信
设置
选项
线程数
设置 ASoC 可同时发送的最大请求数。如果您的站点不允许此数量,请降低限制;如果您的站点完全不允许同时线程,请将限制降低为 1。
超时
- 在扫描期间自动调整
- 允许 ASoC 决定在超时前等待任何特定响应的时间。这可大大减少扫描时间。
- 已修复
- 设置在超时前 ASoC 将等待响应的最长时间。如果站点响应缓慢并且由于短超时而导致 ASoC 缺少响应,请增大此设置。
最大请求速率
缺省情况下,ASoC 会尽快将其请求发送到站点。如果此限制会使网络或服务器过载,可减小其值。
-
测试选项
设置
选项
测试策略
ASoC 将 AppScan Standard 缺省测试策略应用于扫描。无法使用向导更改此设置。
通过在 AppScan Standard 中配置扫描或通过 API 配置扫描来应用其他测试策略。提示: 测试策略与应用程序策略不同。测试优化
选择扫描速度和问题覆盖范围之间的权衡级别,以满足您的需求。滑块提供四个级别。缺省值为快速。有关详细信息,请参阅测试优化。
登录/注销测试 选择是否在登录和注销页面上发送测试。如果您选择在登录页面上发送测试,请指定是否发送会话标识。 -
计划
设置
选项
立即扫描
一旦设置和审核完成,您的扫描就会运行。
保存以供以后使用
完成后,您的配置将被保存。您可以稍后运行扫描。
计划 您的配置将保存,并且一个或多个扫描将按配置运行:- 选择日期和时间。根据计算机上配置的时区输入这些设置,但请注意,在用户界面中显示时时间将转换为 UTC。
- 要多次运行扫描,请选中重复,然后选择:
- 每日,并选择每日时间间隔(1-30 天)
- 每周,并选择星期几,或
- 每月,选择每月时间间隔,然后选择一个月中的哪一天,或一个月中的哪个工作日(第一、第二、第三、第四、最后一个)。
注: 如果在预定时间到达时正在运行最大并发扫描数,那么扫描将在订阅允许时立即开始。 - 设置结束日期(扫描将运行的最后一个日期),或单击删除结束日期以使调度无限期运行。
- 单击审核并扫描或审核并保存。
- 单击扫描。
