从模板文件创建新扫描
您可以上载自己的 AppScan Standard 模板 (SCANT) 文件以运行 ASoC 扫描。
开始之前
- 在扫描之前备份您的站点。
- 如果您尚未这样做,请为扫描创建应用程序。
- 验证 ASoC 您的许可权以扫描域(请参阅 验证域)
- 如果无法从因特网访问站点,而且 AppScan Presence 尚不存在于此服务器上:创建 AppScan Presence.
- 如果扫描实时生产站点,请先参阅 我在扫描实时生产站点时应该进行哪些更改?
过程
- 在应用程序页面上,单击创建扫描以打开向导,然后选择 。
-
上载文件:将模板 (
SCANT) 文件拖放到对话框中,或单击以选择文件。注: 在创建扫描期间启用“允许干预”,以允许扫描启用团队在出现故障时检查扫描。缺省情况下,针对已上载扫描或模板禁用干预。系统将打开该文件,并在 URL 字段中填写配置的起始 URL。 -
如果您的文件包含探索数据,您可以选择仅运行测试阶段,或执行完整扫描(探索和测试阶段):
- 运行全面扫描,或
- 仅运行测试阶段
-
探索:
设置
选项
自动表单填充
ASoC 使用 AppScan Standard 缺省表单填充参数值在站点上填充和提交表单。重要: 如果您正在扫描实时生产站点,我们建议您禁用此功能。有关更多详细信息,请参阅 我在扫描实时生产站点时应该进行哪些更改?注: 如果您在 AppScan on Cloud 中关闭了自动表单填充和扫描,它将删除表单中填写的所有信息,但登录管理数据除外。在扫描过程中,AppScan 不会自动填写表单。将此扫描导入 AppScan Standard 时,将启用自动表单填充,但表单填充数据(登录管理除外)将为空。类型
- 自动探索
- AppScan 从起始 URL 开始自动爬取 Web 应用程序,以发现其将测试的页面。此选项与 Web API 无关;使用下一个选项。
- 在指导下探索
- 上载您自己的已记录探索阶段,供 AppScan 测试。您可以单独使用此功能,或配合自动“探索”阶段使用此功能。
在指导下探索
仅当您选择了根据指导进行探索时,此部分才会被激活。 上传记录
上载一个或多个
DAST.CONFIG流量文件。有关如何记录这些内容的详细信息,请参阅记录流量。对于 Web API,最佳选项通常是 HCL AppScan 流量记录器。文件设置
如果您流量文件中的各请求必须以您之前记录它们的特定顺序发送,请激活多步骤。此方法将大大增加扫描持续时间,因此应仅在必要时使用。要了解多步骤与常规根据指导进行探索间的区别,请参阅 在指导下探索。
要激活多步骤:- 对于每个上载的记录,单击文件名并将激活多步骤选项切换为开。
如何使用记录 - 除全自动“探索”阶段外,还会使用已记录的“探索”,并对其进行全面测试
- ASoC 自行运行自动探索阶段以发现应用程序,并基于这些结果以及您上载的流量文件对其进行测试。此选项与 Web API 无关;使用下一个选项。
- 仅分析和测试已记录的“探索”
- ASoC 将上载的文件视为扫描程序的探索阶段。它仅会分析并创建针对已记录的流量的测试,然后对其进行测试。将没有自动探索阶段。
-
网络:
设置
选项
类型
- 公共(缺省值)
- 您的站点在英特网上提供。
- 专用
- 您的站点未在因特网上提供。从连接的 Presence 列表中选择您的 Presence。
-
调度:
设置
选项
立即扫描
一旦设置和审核完成,您的扫描就会运行。
保存以供以后使用
完成后,您的配置将被保存。您可以稍后运行扫描。
计划 您的配置将保存,并且一个或多个扫描将按配置运行:- 选择日期和时间。根据计算机上配置的时区输入这些设置,但请注意,在用户界面中显示时时间将转换为 UTC。
- 要多次运行扫描,请选中重复,然后选择:
- 每日,并选择每日时间间隔(1-30 天)
- 每周,并选择星期几,或
- 每月,选择每月时间间隔,然后选择一个月中的哪一天,或一个月中的哪个工作日(第一、第二、第三、第四、最后一个)。
注: 如果在预定时间到达时正在运行最大并发扫描数,那么扫描将在订阅允许时立即开始。 - 设置结束日期(扫描将运行的最后一个日期),或单击删除结束日期以使调度无限期运行。
-
单击审核和扫描。
审核时,可以编辑为扫描指定的缺省名称。您还可以选择将扫描作为个人扫描运行,并在扫描完成时接收电子邮件通知。
- 单击立即扫描。
- 单击扫描。
结果
注: 免费计划扫描时长限制为 4 小时,因此大的或者复杂站点可能无法完整地覆盖。