在指导下探索

根据指导进行探索功能允许您爬取应用程序的特定部分,在访问时填写字段和表单,以“指导”ASoC 到这些区域,确保它们在 DAST 扫描中经过测试,并确保 ASoC 具有正确填写表单时所需的信息,并在必要时按特定顺序浏览链接。

需要特定用户输入时,或者站点仅对其他类型的工具或设备做出响应时,使用根据指导进行探索

下列两种方法可用于记录流量以用作根据指导进行探索的数据:
  • 使用 AppScan Activity Recorder(Chrome 或 Edge Web 浏览器的扩展)
  • 使用 HCL AppScan 流量记录器(对于 Web API 可能最合适)
在这两种情况下,记录的流量都另存为 DAST.CONFIG 文件。
创建 ASoC 扫描时,采用以下三种方法之一使用根据指导进行探索
  • 作为扫描的探索阶段,仅测试其中包含的应用程序部分
  • 除了自动探索阶段,还会 ASoC 自动探索应用程序并测试您的记录和其自己的探索数据。
  • 使用 AppScan Standard 中的手动探索,另存为 SCAN 文件,然后将文件上载到 ASoC 以创建扫描。AppScan Standard 中的手动探索对应于 ASoC 中的根据指导进行探索

根据指导进行探索仅适用于 DAST 扫描。在扫描向导的探索阶段将上载您的 DAST.CONFIG 文件并配置指导。请参阅 DAST 扫描配置 > 探索步骤

有关如何记录流量的详细信息,请参阅记录流量

多步骤探索

多步骤探索是一种特定的指导探索类型,在其中不仅应向 ASoC 显示要爬取的链接,还应显示爬取的特定顺序。将多步骤用于对站点的一些部分进行测试(只能通过按特定顺序发送请求来访问;比如,在一个在线商店中,用户需首先将商品添加到购物车,然后才能付款)。

例如,考虑站点的以下三个页面:
  1. 用户将一个或多个商品添加到购物车。
  2. 用户填写付款和送货详细信息。
  3. 用户收到订单完成的确认。
只有在第一页完成后才能访问第二页。只有在第二页完成后才能访问第三页。这是一个序列。为了能够测试第二页和第三页,ASoC 必须在进行各测试之前发送正确的 HTTP 请求序列。
在上述示例中,您将保存指导探索记录 (DAST.CONFIG),在其中浏览第 1 页 > 第 2 页 > 第 3 页ASoC 将根据需要从该序列中抽取必要的子序列:在测试第二页时,将首先发送第一页请求;在测试第三页时,将发送第一页,然后发送第二页。
重要: 由于多步骤记录中任何步骤都必须在其所有先前步骤之前,并且因为任何特定步骤可能在一次扫描中测试数百次,因此如果激活多步骤,可能会大幅增加扫描时间。只有当请求的顺序对于访问应用程序的特定部分至关重要时,才应使用它。

多个 DAST.CONFIG 文件

您可以为单个扫描上载多个文件。如果激活,多步骤设置将应用于所有文件,请参阅 DAST 扫描配置 > 探索步骤