設定 HCL AppScan 資料流量記錄器

您可以在配置檔 Settings.json 中進行變更,以供搭配 HCL AppScan 資料流量記錄器 使用

對設定檔案進行任何變更之後,您必須重新啟動伺服器。
重要: 進行升級時,若您已在 Settings.json 中擁有 PKCS12 憑證,您必須重新設定該憑證。

符合 FIPS 標準模式

設定符合 FIPS 標準模式:
  1. HCL AppScan 資料流量記錄器 的根資料夾中找到 Settings.json 檔案,然後在文字編輯器中開啟。
  2. 找到 requireFips 內容設定,並將其值從 false 變更為 true
  3. 儲存檔案。

資料流量記錄器連線

  1. Settings.json 設定「資料流量記錄器」要在其上執行的預設埠。
  2. 設定資料流量記錄器的安全 (SSL) 連線。您可以使用自己的憑證(方法一)或自簽憑證(方法 B)來執行此操作。
    方法 A:Settings.json 中配置您自己的 PEM 或 PKCS12 憑證:
    PEM:
    • PEM 憑證需要兩個檔案路徑(至 private.keycertificate.pem)。
      • 將檔案路徑插入 Settings.json 的 PEM 區段
        註: 必須跳出此 \ 字元。或範例,C:\\Users\\admin\\private.key
    PKCS12:

    您必須視需要在檔案路徑和密碼中跳出字元。例如,輸入像是 abc!”123 變成的密碼 abc!\”123 (此 符號已跳出)。

    1. 在指令行中,執行:
      .\Java\bin\java.exe -jar .\DastProxy.jar -sc "C:\Path\to\certificate.pfx"
    2. 在收到提示時,輸入憑證的密碼並按一下 Enter 鍵。
    使用 OpenSSL 來建立 PEM 憑證的範例:
    openssl req -newkey rsa:2048 -new -nodes -keyout key.pem -out csr.pem
openssl x509 -req -days 365 -in csr.pem -signkey key.pem -out server.crt
    使用 OpenSSL 將 PEM 憑證轉換為 PKCS12 憑證的範例:
    openssl pkcs12 -export -out certificate.pfx -inkey key.pem -in server.crt
    使用 JAVA 的 keygen 工具將 JKS 憑證轉換為 PKCS12 憑證的範例:
     keytool -importkeystore -srckeystore certificate.jks -srcstoretype JKS -destkeystore certificate.p12 -deststoretype PKCS12
    方法 B:若您沒有憑證,則必須建立並使用自簽憑證。此方法較不安全。
    選項 A:使用 OpenSSL
    OpenSSL 不包含在內,除了建立自我簽署憑證外,也不需要。
    1. 使用 OpenSSL 指令建立金鑰和 PEM 檔案:
      openssl req -new -newkey rsa:2048 -nodes -keyout private.key -x509 -days 365 -out certificate.pem
    2. 將檔案路徑插入 Settings.json 的 PEM 區段
      註: 必須跳出此 \ 字元。例如:
      "C:\\Users\\admin\\private.key"
    B 選項使用 Java keytool
    若為 NodeJS 17 及以上版本,由於 keytool 限制,您必須使用 --openssl-legacy-provider 節點旗標,請參閱 https://nodejs.org/api/cli.html#--openssl-legacy-provider
    1. 在指令行中,開啟「資料流量記錄器」根資料夾。
    2. 使用此指令建立 PKCS12 憑證檔案:
      .\Java\bin\keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore-new.p12 -storetype PKCS12 -validity 365 -keysize 2048
    3. 請填寫完憑證詳細資料,並使用密碼加以保護。

      下一步驟所需的密碼。

    4. 請使用下列指令,在 HCL AppScan 資料流量記錄器 中使用產生的憑證:
      .\Java\bin\java.exe -jar .\DastProxy.jar -sc "keystore-new.p12"

主要憑證

如果您要測試的應用程式使用 SSL (HTTPS),則 HCL AppScan 資料流量記錄器 必須作為記錄資料流量的中間人。若要這麼做,它必須具有主要憑證,可用來簽署它與應用程式的通訊。

依預設,HCL AppScan 資料流量記錄器 會產生唯一的主要憑證,不需要任何使用者介入。不過,瀏覽應用程式時,會收到 SSL 警告。您可以忽略它們,或執行下列其中一項
  • 在您的機器上安裝 HCL AppScan 資料流量記錄器 產生的憑證:
    1. 使用 REST API 將 HCL AppScan 資料流量記錄器 所用的自簽「主要憑證管理中心」下載為 PEM 檔案。
    2. 在用於「探索」的瀏覽器上或是任何需要的地方(視資料流量來源而定)安裝憑證。
  • 您自己的主要憑證匯入至HCL AppScan 資料流量記錄器
    1. 開啟指令行視窗,並且導覽至「資料流量記錄器」機器上的安裝資料夾。
    2. 執行下列指令:
      .\Java\bin\java -jar DastProxy.jar -irc [path to certificate file] -ircp [password]
      如果要查看完整的指令使用情形,請執行:
      .\Java\bin\java -jar DastProxy.jar
      重要: 因為憑證將會儲存在「資料流量記錄器」上,所以建議您使用專用的測試憑證。
      註: 支援的憑證格式有 PKCS12 (.P12、.PFX)、JKS。
  • StartProxy 指令中提供您自己的固定伺服器憑證(不是主要憑證)。

設定閒置逾時

如果資料流量記錄器實例在使用後未以關閉指令關閉,將會維持開啟並且在埠上接聽。如果資料流量記錄器實例閒置超出預先定義的時間,則會自動關閉。

資料流量記錄器實例的預設閒置逾時為 60 分鐘。在 Settings.json 檔案(可以在安裝資料夾中找到)中的 “inactivityTimeoutInMinutes” 中變更此值。

加密資料流量

依預設,資料流量 (.DAST.CONFIG) 檔案未加密。若要配置伺服器加密所有資料流量,請將 Settings.json 檔案(可以在安裝資料夾中找到)中的 "encryptDastConfig" 值變更為 true

連結 Proxy

如果您需要定義多個已鏈結 Proxy,或是定義 Proxy 的異常狀況,請使用安裝資料夾中的已鏈結 Proxy 規則檔案 (proxy.chain)。檔案包括使用的指示。