關於動態分析 (DAST)

Stage1：瀏覽

「探索」階段可以自動作為自動掃描的一部分執行，或由使用者手動執行，或兩者結合使用。

在第一個階段期間，從您配置的 URL 開始，AppScan on Cloud 會藉由模擬按一下連結的 Web 使用者並完成表單欄位，以搜索應用程式，並建立對應用程式結構的瞭解。

ASoC 會分析對每個「探索」要求的回應，尋找任何潛在漏洞的蛛絲馬跡。當 ASoC 收到可能表示安全漏洞的回應時，其會根據回應來建立一或多項測試，且會記下判斷構成漏洞的結果所需要的驗證規則，以及所包含的安全風險層次。

在傳送所建立的網站專用測試之前，ASoC 會先傳送一些形態異常的要求給應用程式，以判斷其產生錯誤回應的方式。之後，便利用這項資訊來增加 ASoC 的自動測試驗證程序的精準度。

在一般掃描中，用來探索應用程式的「探索」階段會自動執行。不過，您可以配置 ASoC 來探索網站的特定部分，或透過使用指引探索功能，依特定順序傳送要求。請參閱利用指引進行探索。

階段 2測試

在第二階段期間，ASoC 會傳送其在「探索」階段期間所建立的數千項自訂測試要求。它會錄製應用程式對每項測試的回應，並利用自訂驗證規則來分析這些回應。這些規則可識別應用程式內的安全問題，也能夠評定它們的安全風險層次等級。

掃描回合

實際上，「測試」階段通常會顯示應用程式內的新連結，以及更多潛在的安全風險。因此，在完成第一回合的「探索」和「測試」之後，ASoC 會自動開始第二回合來處理新的資訊。如果第二回合期間發現新連結，便會執行第三回合，依此類推。

在「測試」階段中探索新連結，會觸發執行時期所顯示的預期測試數目變更。完成所配置的掃描回合數目之後，掃描便會停止，使用者可以使用完成的結果。

預設回合數是四個。無法在 ASoC 中變更此值，但如果在上傳的配置檔 (DAST.CONFIG) 中配置了不同的數字，則會執行回合數。

掃描流程