記錄資料流量

您可以使用 AppScan 活動記錄器瀏覽器擴充功能(適用於 Chrome 或 Edge)、HCL AppScan 資料流量記錄器 Proxy 伺服器或 AppScan Standard,將流量記錄為 DAST 掃描的探索資料。

執行 DAST 掃描時,ASoC 會自動探索您的網站。有時,製作自己的記錄並上傳以供 ASoC 測試網站時使用,會很有用。下表總結了記錄資料流量的選項,並建議您會覺得這些選項很有用的實務範例。
選項 說明: 使用案例
AppScan 活動記錄器 Chrome 和 Edge 的瀏覽器擴充功能。 記錄您自己的瀏覽活動,並將其儲存為 DAST.CONFIG 檔案。設定 DAST 掃描時,將檔案上傳至 ASoC
HCL AppScan 資料流量記錄器 DAST Proxy 伺服器。 可隨需建立資料流量記錄器實例(例如 Selenium 等自動化架構),自動記錄流量並儲存為 DAST.CONFIG 檔案。設定 DAST 掃描時,將檔案上傳至 ASoC
註: 當您上傳傳送至網路 API 的流量記錄時,請選取僅執行測試階段(在掃描設定中)。 ASoC DAST 探索階段無法探索 Web API。
AppScan Standard 電腦應用程式 如果您已安裝 AppScan Standard,您可以利用其進階配置選項來設定掃描,並將其儲存為 SCAN 檔案。使用此檔案在 ASoC 中建立您的 DAST 掃描。

您也可以只記錄及驗證登入程序、儲存為 LOGIN 檔並上傳,以在 ASoC DAST 掃描中使用。

使用 AppScan 活動記錄器

若要使用 AppScan 活動記錄器記錄流量:
  1. 開啟瀏覽器並安裝 AppScan 活動記錄器
  2. 在新的瀏覽器標籤中,輸入起始 URL
  3. 按一下擴充功能圖示以開始記錄,並記錄引導式探索階段。
    註: 您必須先登出應用程式,才能開始錄製。
  4. 完成時,請再次按一下擴充功能圖示,以停止記錄。畫面會提示您儲存 DAST.CONFIG 檔案。

正在使用 AppScan 資料流量記錄器

HCL AppScan 資料流量記錄器 可讓您記錄 Web 服務或 Web API 的資料流量,該 Web 服務或 Web API 可以另存為 DAST.CONFIG 檔,然後用來作為 ASoC 掃描的「探索」資料。如需詳細資料,請參閱HCL AppScan 資料流量記錄器

註: 當您上傳至網路 API 的流量記錄時,請選取僅執行測試階段(在掃描設定中)。 ASoC DAST 探索階段無法探索 Web API。

使用 AppScan Standard

如需使用案例的詳細資料,以及如何取得 AppScan Standard,請參閱 AppScan Standard

若要使用 AppScan Standard 記錄流量以供 ASoC 使用:
  1. 開啟「配置」對話框,並使用掃描、登入及其他任何所需設定的「起始 URL」來配置 AppScan 掃描。
  2. AppScan Standard 中,按一下「手動探索」來開啟「活動記錄器」並開始記錄。
  3. 登入應用程式,然後按一下您要在掃描中測試的連結。
  4. 按一下確定
  5. 檢閱要求清單,視需要編輯,然後按一下「確定」。
  6. 儲存 SCAN 檔並上傳,以建立 ASoC 掃描(請參閱 從掃描檔案中建立新掃描)。

使用 AppScan Standard 記錄登入

您可以使用 ASoC 來記錄應用程式的登入程序,將該程序匯出為 LOGIN 檔並上傳,以在 ASoC 掃描中使用。

若要在 AppScan Standard 中記錄登入程序:
  1. 開啟「配置」對話框,並使用掃描的起始 URL 來配置 AppScan 掃描。
  2. 在「登入管理」視圖中,選取登入方法:已記錄
  3. 按一下記錄,然後使用開啟的內部瀏覽器,登入您的應用程式。

    HTTP 要求及使用者動作皆會受到記錄。

  4. 登入之後,按一下我已登入網站

    瀏覽器會關閉,且 AppScan 會分析序列以識別階段作業內頁面,該頁面可在掃描期間用來驗證 AppScan 登出及保持登入的時間。成功完成此動作後,綠色鑰匙圖示會顯示為確認。

  5. 在對話框的下半部,按一下匯出,將此程序儲存為 LOGIN 檔。