常見問題
一些常見的問題。
一般
我的掃描為何會失敗,狀態為何會變成「檢閱中」?掃描為何「由掃描啟用團隊處理」?
DAST
測試最佳化:我是否可以預期在相同網站上的兩個最佳化掃描結果完全相同?
ASoC 支援連線至 ASoC 服務的是哪個 TLS 通訊協定?
SAST 與 SCA
一般
免費試用訂閱的限制是什麼?
- 「摘要報告」會列出找到的所有安全問題,但是不會列出問題的詳細資料和建議的補救作業。付費訂閱的完整報告會包含這些資訊。
- 無法取得「法規報告」。
- SAST 掃描結果不會列出使用的開放原始碼程式庫。
- 私有網站掃描(網際網路上無法掃描網站)未啟用。
- 一次只能執行一個掃描。
- 掃描的總數限制為五個。
- 訂閱在 30 天後到期。
為什麼我的掃描「已排入佇列」?
部分訂閱會限制可同時執行的掃描數目(並行掃描)。如果您在達到並行掃描的數量上限時啟動掃描,則新掃描會排入佇列中。您的訂閱允許之後,排入佇列的掃描會依照您啟動的順序自動執行。請注意,可以排入佇列的掃描數目上限也取決於您的訂閱。當佇列已滿時,您無法啟動其他掃描。
佇列的順序無法編輯,而且會依照掃描開始的順序。
免費試用使用者一次只能執行一個掃描,且無法將掃描排入佇列。
我的掃描為何會失敗,狀態為何會變成「檢閱中」?掃描為何「由掃描啟用團隊處理」?
如果 ASoC 偵測到在目前的設定之下,自動化程序可能會產生不好的結果,則掃描狀態會變更成檢閱中。我們的「掃描啟用團隊」會檢閱設定,並可能加以修改以獲得更好的結果。在這個階段,您無需輸入任何內容,且請勿取消掃描,因為這將會取消檢閱。在檢閱好設定後(通常是在幾小時內),掃描會繼續進行並完成。
- 登入認證無效
- 登入需要第三認證或其他特殊登入程序
- 登入使用 CAPTCHA(不支援 CAPTCHA;如果您的登入使用 CAPTCHA,則您必須將其停用以便進行掃描)。
- 無效的應用程式檔案
- HTTP 鑑別認證無效或遺漏
- 伺服器無回應或閘道錯誤(ASoC 會傳送大量要求,因此網站/應用程式必須穩定,並且能夠應付龐大流量)
- IP 遭到封鎖(請務必將所使用的 IPASoC 列入容許清單)
- 帳戶鎖定
- 結果需要手動驗證
- 您選取的「測試集」不適用於您的網站/應用程式
- 專用網站掃描:AppScan Presence 非作用中
很明顯地,如果可以避免這些問題,您的掃描就更能快速自動完成。將 ASoC 掃描併入自動化程序這點特別重要,能夠盡可能縮短掃描時間。
掃描失敗時會發生什麼事?
- 您的帳戶不會被收費。
- 如果有掃描失敗的診斷原因,系統會通知您以便您能加以修正。
我可以擷取已刪除掃描的掃描結果嗎?
不可以。當您按一下「垃圾桶」圖示時,結果即會從資料庫中刪除。我重新掃描之後可以擷取前一次掃描的掃描結果嗎?
不可以。當您重新掃描應用程式時,先前的結果會從資料庫中刪除。掃描要多久才能完成?
視應用程式大小及複雜性而定,會需要從幾分鐘到幾天。您可以選擇在掃描完成時接收電子郵件。我的掃描似乎花了很長的時間。是不是卡住了?
監視系統會檢查掃描進度,以確保停止沒有進展的掃描。如果掃描看起來仍在執行,應該是在執行中。如果我不刪除掃描,掃描會保留在資料庫中多久?
使用者所上傳的檔案(如 APK、IPA、IRX、SCAN 和 SCANT)會快取在服務中最多 60 天,以便進行疑難排解。掃描結果會永久儲存在服務中,除非使用者自行刪除,或是帳戶遭到刪除。ASoC 使用哪些 IP?
請參閱系統需求
ASoC 會測試哪些安全問題?
| DAST | SAST | IAST |
|---|---|---|
|
|
|
為何我的應用程式風險評級為「不明」?
- 找到的問題(由 ASoC)
- 業務衝擊(由使用者指派)
DAST
為什麼我無法再將環境指定為「暫置」或「正式作業」?
- 在 「探索」>「自動表單填入」中,清除核取方塊以停用此選項。
- 在「通訊」>「最大要求率」中,預設值對於大多數正式作業網站應該沒問題,但您可以考慮減少每秒允許的最大要求數,以減少網站流量。
如需更多詳細資料和建議,請參閱下一節。
掃描即時正式作業網站時,我應該進行哪些變更?
如果可能,建議您在暫置網站上執行 DAST 掃描,而不是在正式作業網站上執行。在即時正式作業網站上執行 DAST 掃描可能會影響網站穩定性。必要時,考量下列幾點可協助您有效配置正式作業網站掃描。
資料庫可能充滿掃描期間傳送的人工資訊
- 在「探索」>「自動表單填入」中清除核取方塊。
這可確保 ASoC 不會自動填寫表單而提交可能會塞爆資料庫、公佈欄或線上討論區系統的資料,也不會將不想要的電子郵件傳至管理員或控管者的帳戶。不過,您應該知道,這麼做將限制 ASoC 到達網站區域(藉由提交表單來存取)的能力。在這個作業模式中,ASoC 只會掃描遵循連結(包含或不含參數)所能存取的網站區域。
- 在「通訊」>「最大要求率」中,請考慮減少每秒允許的最大要求數。
- 建立測試帳戶。使用測試帳戶可使資料庫變更的追蹤更加容易(例如,確保不會實際訂購服務),以及協助網站管理者在掃描之後清除網站。建立帳戶時,請考慮執行下列部分或全部操作:
- 限制從資料庫中只能存取測試記錄,以便還原修改過的記錄。
- 確定將會刪除測試帳戶所建立的新記錄。
- 確定將會忽略測試帳戶的採購單(或其他交易)。
- 如果交易具有影響力(例如處理股票時),請只允許帳戶存取測試記錄。
- 如果網站有討論區,請只允許測試帳戶存取測試討論區,這樣一來真正的客戶才不會看到測試階段期間所建立的測試。
- 如果網站會針對不同的帳戶提供不同的專用權,請設定多個測試帳戶,賦予不同的專用權。這可確保能夠進行更全面的網站掃描。
- 請勿建立具有管理者層級存取權的測試帳戶。
電子郵件氾濫的風險
當測試使用電子郵件通知的頁面時,ASoC 會產生許多要求,且可能使網站的電子郵件伺服器超載。如果可行,暫時變更所測試頁面上的電子郵件位址,以使電子郵件傳送到無效的電子郵件位址。
測試最佳化:如果它的掃描速度更快,為何我不應該一律使用它?
測試最佳化在您需要更快速的結果時很棒,但是不如非最佳化掃描一般的徹底。我們建議在速度很重要時使用最佳化掃描,但是您也可以在定期間隔以完整掃描來備份。
測試最佳化:我是否可以預期在相同網站上的兩個最佳化掃描結果完全相同?
因為我們的團隊會持續分析並更新設定,所以每次 AppScan 更新都會有改善的最佳化設定,因此即使網站未變更,結果也不一定會相同。不過,在相同的最佳化層次下,不太可能有稍早掃描中顯示出問題的測試,在稍後的掃描被過濾掉的情形發生。
OTP:如何識別 OTP HTTP 參數?
針對使用 OTP(一次性密碼)的 DAST 網站掃描,AppScan 需要知道包含 OTP 的參數名稱(以便能夠登入應用程式),並且通常會在驗證「已記錄的登入」時識別它。如果無法這樣做,或如果您使用自動登入而非已記錄的登入,則必須自行新增參數。
- 瀏覽至應用程式的登入頁面。
- 按一下 F12 以開啟瀏覽器的開發人員工具窗格(在主要瀏覽器窗格的右側或下方開啟)。
- 按一下「元素」標籤以檢視 HTML 程式碼。
選取程式碼的一部分時,會在主要瀏覽器窗格中強調顯示該元素。
- 尋找強調顯示 OTP 欄位的元素。範例:
<input type="text" name="OTPvalue" value=""> - name 參數的值(不含引號)是您需要的 OTP HTTP 參數。範例:
OTPvalue - 如果有多個 OTP HTTP 參數,請以逗點區隔它們。
DAST 掃描支援哪些通訊協定?
ASoC 可以掃描需要 TLS 1.0、1.1 和 1.2 的應用程式。
目前不支援掃描需要 TLS 1.3 的應用程式。
ASoC 支援連線至 ASoC 服務的是哪個 TLS 通訊協定?
ASoC 支援連線至服務的 TLS 1.2。
為什麼我的重新掃描中「中嚴重性」問題數量增加?
原本使用 DAST 引擎 v10.2.0 之前的版本執行重新掃描時,在重新掃描中發現的「中嚴重性」問題比原始掃描中更多。
從 AppScan DAST 引擎 10.2.0 版開始,CWE 問題嚴重性和 CVSS 評分是以 CVSS 3.1 版為基礎。使用舊版 DAST 引擎執行的掃描採用 CVSS 2.0 評分。一些在舊版中被指定為「低嚴重性」的問題在 10.2.0. 版中被指定為「中嚴重性」,導致「中嚴重性」問題增加。這會在未來的 DAST 引擎版本中進行變更。
SAST 與 SCA
何謂靜態分析 IRX 檔案以及它包含什麼內容?
IRX 是一個安全且加密的 zip 保存檔,其中包含執行程式完整靜態分析的必要資訊。在建立後待用及傳輸至雲端期間(透過 SSL)會進行加密。
IRX 保存檔在內部包含這些檔案和構件:
- 針對可部署的程式構件的專有及模糊呈現,這是從您已部署的原始碼(例如,Java 位元組碼或 .Net MSIL)所建置。如果要瞭解靜態分析掃描支援哪些語言,請參閱 靜態分析的系統需求。
- 所有與程式一同部署的執行時期 Script 檔都可加以分析以找出安全漏洞(例如 .js (Javascript) 或 .rb (Ruby) 檔案)。
- Static Analyzer 配置檔,其中說明應用程式或專案階層以及程式的關係或相依關係。這可在應用程式內跨越專案界限進行精確且完整的安全分析。
- 在建立保存檔期間所產生的 Static Analyzer 日誌檔(用於診斷和支援)。
針對 SCA 問題的 CVSS 版本?
儘管 ASoC 會顯示為 DAST 問題評分的 CVSS 版本,但有時可能不會顯示 SCA 問題評分的 CVSS 版本。