啟動 IAST 階段作業

在應用程式伺服器上安裝 IAST 代理程式,然後配置掃描。

開始之前

如果您對單一 IAST 監視階段作業使用多部伺服器,則可以將代理程式從一部伺服器複製到另一部伺服器,或下載個別的代理程式。這兩個方法均受支援。
支援: 請參閱 IAST 系統需求
註: IAST 監視階段作業一般將在完裝完成後立即「開始」,但必須在應用程式伺服器上部署代理程式之後,才能發現問題。

程序

  1. 如果您尚未執行此操作,請為您的掃描建立應用程式
  2. 應用程式視圖中,按一下建立掃描以開啟精靈,然後選取互動式 (IAST)
  3. 按一下「下載代理程式」,然後選取「.NET」、「Java」、「PHP」或「Node.js」,將相關代理程式檔案儲存至您的電腦。
    建立檔案以進行下載的程序可能需要一點時間,但之後下載會自動開始。
    註: 下載的代理程式包括在相同階段作業的多部伺服器上有效的金鑰,因此您可以將代理程式複製到數部伺服器。如果您為相同階段作業下載另一個代理程式,則新代理程式會有新金鑰,但新的和舊的金鑰均會對該階段作業有效。
  4. 在您的應用程式伺服器上部署 IAST 代理程式
    現在,IAST 代理程式正在監視伺服器的流量。您可以在應用程式標籤的掃描項目中看到此項目是已確認的狀態。您執行系統測試或 DAST 掃描時,將識別問題並將其新增到掃描項目。
    重要: IAST 代理程式會監視應用程式的資料流量,以尋找問題。IAST 本身不會產生要求。安裝 IAST 代理程式後,通常會在功能測試、QA 和 DAST 掃描期間發現問題。
    註: IAST 掃描不會自動停止。而會持續監視資料流量。您可以在 ASoC 使用者介面中停止 IAST 階段作業,以停用監視。雖然此動作會停用大部分的 IAST 代理程式活動,但代理程式仍會繼續與 ASoC 通訊,以偵測階段作業的重啟時間。

動作

建立掃描後,動作下拉清單將提供下列選項(如適當):
  • 產生新的金鑰:若下載的金鑰遺失。
    註: 如果產生新金鑰,則先前的金鑰將失效。
  • 停止:停止執行的掃描而不予以刪除。您可以稍後再次啟動。如果要報告目前的掃描結果,請前往「全部問題」標籤。
  • 開始時間:開始停止的掃描(授權允許)。掃描的問題計數器從零開始。
  • 取消:刪除掃描。