利用指引進行探索

使用指引探索」功能可讓您搜索應用程式的特定部分、隨著過程填入欄位和表單、將 ASoC「引導」到那些區域,進而確保那些區域在 DAST 掃描中都經過測試,以及 ASoC 具有正確完成表單所需的資訊,以及(必要的話)以特定順序瀏覽連結。

需要特定使用者輸入,或在網站只會回應不同類型的工具或裝置時,使用「使用指引探索」。

有兩種方式可以記錄資料流量,以作為「使用指引探索」資料:
  • 使用 AppScan 活動記錄器(Chrome 或 Edge Web 瀏覽器的擴充功能)
  • 使用 HCL AppScan 資料流量記錄器 (在 Web API 中可能最適合)
在這兩種情況下,已記錄的資料流量都會儲存為 DAST.CONFIG 檔案。
建立 ASoC 掃描時,請以下列三種方式之一使用「使用指引探索」:
  • 在掃描的探索階段時,僅測試其中包含的應用程式部分
  • 除了自動探索階段之外,ASoC 也會自動探索應用程式,並測試您的記錄及其本身的探索資料。
  • 使用 AppScan Standard 中的手動探索,儲存為 SCAN 檔案,並上傳檔案至 ASoC 以建立掃描。AppScan Standard 中的手動探索對應於 ASoC 中的使用指引探索

使用指引探索僅適用於 DAST 掃描。DAST.CONFIG 檔案已上傳,並在掃描精靈的探索階段中設定指引。請參閱 DAST 掃描配置 > 探索步驟

如果要進一步瞭解如何記錄資料流量,請參閱 記錄資料流量

多步驟探索

多步驟探索是一種特定類型的引導式探索,您不僅要向 ASoC 顯示要搜索哪個連結,還會顯示要以何種順序進行搜索。使用多步驟來測試網站的某些部分,您只能透過以特定順序傳送要求來連接這些網站部分,例如使用者在為商品支付費用前將其新增至購物車的線上商店。

例如,考慮網站的下列三個頁面:
  1. 使用者新增一或多個項目到購物車。
  2. 使用者填寫付款和出貨詳細資料。
  3. 使用者收到訂單已完成的確認。
第二頁只能在第一頁完成後到達。第三頁只有在第二頁完成後才能進入。這是一個序列。若要能夠測試第 2 頁和第 3 頁,ASoC 必須在每項測試之前,傳送正確的 HTTP 要求序列。
在上述範例中,您將儲存引導式探索記錄 (DAST.CONFIG),您可在這裡瀏覽第 1 頁 > 第 2 頁 > 第 3 頁ASoC 視需要從這個順序擷取必要的子序列:測試第二頁時,它會先傳送第一頁要求;測試第三頁時,則會傳送第一頁,後面接著傳送第二頁。
重要: 因為多步驟記錄中的任何步驟都必須排在其所有先前步驟之前,且任何特定步驟都可能在掃描中被測試過數百次,因此啟動「多步驟」可能會顯著增加掃描時間。只有在要求順序對於連接應用程式的特定部分至關重要時,才應該使用此功能。

多重 DAST.CONFIG 檔案

您可以上傳多個檔案以進行單一掃描。如果啟動,則「多步驟」設定將套用至所有檔案,請參閱 DAST 掃描配置 > 探索步驟」。