建立新的掃描(完整配置)

提供掃描的「起始 URL」和使用者認證、選取網站類型,以及(如果先前沒有這麼做的話)驗證您掃描網站的許可權。

開始之前

程序

  1. 在特定「應用程式」頁面上,按一下建立掃描,然後選取動態 (DAST) 來開啟精靈。
    您必須在下一個步驟中輸入掃描的起始 URL。其他設定(下面的步驟 2 到 5)可以變更或保留其預設值。完成時按一下檢閱及掃描(下面的步驟 6)。
  2. URL 及網域

    設定

    選項

    URL
    URL 欄位
    輸入應從該處開始掃描的 URL。若為 Web API,則沒有「起始」URL,因此在您要掃描的服務網域中輸入任何有效 URL 即可。
    掃描示範網站
    按一下此連結,以填寫 AppScan 示範網站的 URL。這可讓您不用驗證網域即可執行掃描。在 登入 標籤中,輸入使用者名稱 JSmith密碼 Demo1234
    註: 只要您使用所提供的完整 URL,執行示範網站掃描就不會計入您的授權限制。如果您移除 ?mode=demo 交換器,掃描就會計入您的限制。
    僅包含這個目錄中以及其下的鏈結。
    選取此核取方塊可排除掃描時可能作為連結被人發現的任何外部、並行或子網域。清除此核取方塊時,掃描可以包含起始 URL 以外的網域,而且必須驗證這些網域。如需更多詳細資料,請參閱網域驗證範例

    要測試的網域

    請列出將會包含在掃描中的網域。您輸入的起始 URL 會自動新增到這裡。除非您的網路是私有的,而且您正在使用 Presence,否則所有網域都必須經過驗證。

    如果您的網站包含起始 URL 以外的網域,而且您想要掃描這些網域,請按一下新增另一個網域來新增這些網域。

    每個網域旁邊的綠色核取記號表示已經過驗證。對於尚未驗證的網域,請前往「組織」>「網域」>「驗證新網域」。
    註: 由於不再需要選取暫置或正式作業環境的選項,因此最近已移除。如需相關資訊,請參閱為什麼我無法再將環境指定為「暫置」或「正式作業」?
  3. 網路

    設定

    選項

    類型
    公用(預設值)
    您的網站可在網際網路上顯示。
    專用
    您的網站無法在網際網路上顯示。從已連線的 Presences 清單中選擇您的 Presences。
    註: 如果尚未建立 AppScan Presence,您可以藉由按一下「AppScan Presence Presences 頁面」連結,並且參照至 建立 AppScan Presence 來立即建立。
  4. 登入

    設定

    選項

    登入
    不需要登入(預設值)
    如果符合以下情況,請將此項保留為已選取:
    • 不需要登入/授權,或
    • (Web API) 授權使用固定值或長期值(例如 API 金鑰或固定載送記號)
    需要登入:使用者名稱與密碼
    選取 ASoC 是否可以視需要使用認證登入,而且沒有特殊程序。您也可以輸入第三認證(選擇性)。例如:PIN# = 1234。然而,使用第三認證需要 ASoC 支援團隊介入,而且掃描可能需要更長時間。
    註: 不支援 CAPTCHA。
    提示: ASoC 建議使用測試認證,而不是實際使用者的認證。
    此選項與 Web API 無關。
    需要登入:已記錄的登入
    若需特殊登入程序,請選取此選項來上傳程序記錄,ASoC 在掃描期間登入應用程式時,就必須使用此程序記錄。您可以使用AppScan 活動記錄器(儲存為 CONFIG 檔)或 AppScan (匯出為 LOGIN 檔)來記錄。
    重要: 記錄的登入序列必須包含下列要求:
    • 登入/授權要求
    • 其他登入/授權要求。這個「額外」要求有助於 AppScan 在測試應用程式時,識別成功的授權和維護階段作業。

    請參閱 記錄資料流量使用 AppScan Standard 記錄登入,瞭解記錄 CONFIGLOGIN 檔的詳細資料。

    HTTP 鑑別

    除了「登入」資訊之外,指出應用程式是否需要 HTTP 鑑別(Negotiate、NTLM、Kerberos、ADFS、Basic 或 Digest)。輸入要讓 ASoC 在掃描期間使用的使用者名稱密碼,以及網域(選擇性)。
  5. 一次性密碼

    設定

    選項

    使用 TOTP
    若您的網站需要時間型一次性密碼供使用者登入 (MFA),請選取此核取方塊,並填寫對話框的前四個欄位,讓 AppScan 能夠登入。
    • 秘密金鑰
    • OTP 長度(位數)
    • 使用的雜湊演算法(從下拉清單中選取)
    • 時間步驟(以秒數為單位)
    註: TOTP 是此精靈唯一支援的 OTP。如需更多 OTP 選項,您可以在 AppScan Standard 中配置掃描,並上傳至 ASoC。使用 OTP 在 AppScan Standard 中配置掃描時,您必須使用動作型登入,而非要求型登入,詳細資訊請參閱 AppScan Standard 說明文件。
    OTP HTTP 參數(選用)

    若您在前一個步驟中使用「需要登入:已記錄登入」,則通常不需要最後一欄,因為基本上 AppScan 在掃描開始,驗證已記錄登入程序時,就會識別 OTP 標頭。

    若您使用「需要登入:使用者名稱和密碼」,則您必須在此新增參數。若有超過一個參數,請以逗號分隔。

    可能的 OTP 標頭範例:OTPvalue

    如何識別 OTP HTTP 參數?
  6. 探索

    設定

    選項

    自動表單填入
    ASoC 使用 AppScan Standard 的預設表單填入參數值在網站上填入並提交表單。
    重要: 如果您正在掃描即時正式作業網站,建議您停用此功能。如需詳細資料,請參閱 掃描即時正式作業網站時,我應該進行哪些變更?
    註: 如果您關閉 AppScan on Cloud 中的自動表單填入並進行掃描,除了登入管理資料以外,將會移除表單中填入的所有資訊。AppScan 將不會在掃描期間自動填入表單。當您將此掃描匯入 AppScan Standard 時,即會啟用自動表單填入,但除了登入管理之外,表單填入資料將會為空白。

    類型
    自動探索
    AppScan 從起始 URL 自動搜索 Web 應用程式,以探索其將測試的頁面。此選項與 Web API 無關;請使用下一個選項。
    利用指引進行探索
    上傳您自己錄製的「探索」階段,以供 AppScan 測試。您可以自行使用此項,也可以在自動「探索」階段之外使用。
    如需這兩種探索類型的詳細資料,請參閱 關於動態分析 (DAST)

    利用指引進行探索

    		 只有在您選取了使用指引探索時,這個區段才是有效的。

    上傳記錄中

    上傳一個以上的 DAST.CONFIG 流量檔案。如果要進一步瞭解如何記錄,請參閱 記錄資料流量。若為 Web API,最佳選項通常為 HCL AppScan 資料流量記錄器

    檔案設定

    如果資料流量檔案中的要求必須以您記錄的特定順序傳送,請啟動多步驟。這個方法會大幅增加掃描的持續時間,因此請只在需要時才使用。如果要瞭解多步驟和一般使用指引探索之間的差異,請參閱 利用指引進行探索

    若要啟動多步驟
    • 針對每個上傳的記錄,請按一下檔名,並將啟動多步驟選項切換為開啟
    如何使用記錄功能
    除了完全自動的「探索」階段之外,請使用記錄的「探索」,並測試其全部
    ASoC 會執行其自己的自動「探索」階段來探索應用程式,並根據這些結果您上傳的資料流量檔案來進行測試。此選項與 Web API 無關;請使用下一個選項。
    僅分析及測試記錄的「探索」
    ASoC 會將上傳的檔案視為掃描的探索階段。其會分析和建立所記錄資料流量的測試,然後加以測試。不會有自動探索階段。
  7. 通訊

    設定

    選項

    執行緒數

    設定 ASoC 能夠同時傳送至網站的要求數上限。如果您的網站不允許此數量,請降低限制;如果您的網站完全不允許同時執行緒,請將限制降到 1

    逾時
    在掃描期間自動調整
    允許 ASoC 決定在逾時之前等待任何特定回應的時間長度。這可以大幅降低掃描時間。
    已修正
    設定 ASoC 在逾時之前等待回應的時間上限。如果網站的回應速度緩慢,且 ASoC 由於逾時時間較短而缺少回應,請提高此設定。

    要求率上限

    依預設,ASoC 會儘快將其要求傳給網站。若此限制使您的網路或伺服器超載,您可以減少限制。
  8. 測試選項

    設定

    選項

    測試原則

    ASoCAppScan Standard 預設測試原則套用至掃描。無法使用精靈變更此設定。

    AppScan Standard 中或透過 API 配置掃描,來套用不同的測試原則。
    提示: 測試原則與應用程式原則不同。

    測試最佳化

    根據需要,選取在掃描速度和問題範圍之間的取捨範圍。調節器提供四個等級。預設為快速。如需詳細資料,請參閱測試最佳化
    登入/登出測試 選擇是否傳送登入和登出頁面上的測試。如果您選擇傳送登入頁面上的測試,請指定是否傳送階段作業 ID。
  9. 排程

    設定

    選項

    立即掃描

    一旦設定和檢閱完成,系統就會執行您的掃描。

    儲存以便稍後使用

    完成後會儲存您的配置。您可以稍後再執行掃描。
    排程
    系統會儲存您的配置,並依配置執行一項或多項掃描。
    1. 選取一個日期和時間。請根據您機器上配置的時區來輸入這些資料,但請注意,使用者介面中顯示的時間會轉換成 UTC。
    2. 如果要多次執行掃描,請選取重複,然後選擇:
      • 每日,並選取每日間隔 (1-30 天)
      • 每週,並選取日子,或
      • 每月,選取每月間隔,然後選取月份的數字日期,或月份的某工作日(第一、第二、第三、第四、最後一個)。
      註: 當排定的時間到達時,如果並行掃描的數目已達到上限,掃描勍會在您的訂閱允許時立即開始。
    3. 設定結束日期(執行掃描的最後日期),或按一下移除結束日期,讓排程無限期執行。
  10. 按一下「檢閱並掃描」或「檢閱並儲存」。

    -

    您可以在右側的喜好設定區段中,進行以下操作:
    • 編輯掃描的預設名稱。
    • 選擇以個人掃描形式執行掃描。
    • 選擇在掃描完成時接收電子郵件。
    • 指定掃描啟用。依預設會選取容許人為介入核取方塊。這表示如果 ASoC 偵測到掃描在目前設定中可能產生不良結果,就會警示掃描啟用團隊來檢閱結果。然後,掃描狀態會變更為檢閱中,並在檢閱完成時回復(請參閱 掃描狀態)。
      • 如果不希望讓掃描啟用團隊介入,請清除核取方塊。
      • 如果您容許人為介入,而且您認為團隊需要特定資訊來解決問題,您可以將訊息包含進團隊。選用。
  11. 按一下「掃描」。

結果

新掃描會連同其開始時間新增至掃描視圖,並且會有進度列指出掃描正在執行中。掃描完成時進度列會關閉,結果會彙總在圖形中,且(如果選取的話)您會收到電子郵件通知。請參閱結果
註: 免費計劃掃描的時間長度限制為四小時,因此這些掃描可能無法完全涵蓋大型或繁複網站。