- 使用 AppScan Enterprise 中的扫描属性创建 QuickScan 模板
QuickScan 模板包含内容扫描作业,或者导入作业以及报告包。在“文件夹”列表的“模板”文件夹中创建扫描模板后,它们将作为扫描模板自动提供给 QuickScan 用户或更高级的用户,这些用户已在“显示文件夹浏览器”列表中打开了“QuickScan 视图”。QuickScan 用户创建扫描时,作业和报告包将基于此模板创建,但对于 QuickScan 用户来说它们仅作为扫描出现。
- 配置无安全测试的基本扫描
使用该任务以最低配置来配置基本扫描。此扫描将在您的 Web 应用程序中自动发现更多要测试的 URL。对于具有许多静态链接并不需要大量用户交互的应用程序,请使用此方法。此扫描不会测试安全问题,但是可帮助您开始探索站点以确定完整站点覆盖范围。
- 安全测试的工作流程
安全扫描需要认真配置,以便其可以找到 Web 应用程序上的所有 URL,然后测试其弱点。
- JavaScript 源代码分析的工作方式
JavaScript™ Security Analyzer (JSA) 执行静态 JavaScript™ 源代码分析来检测一系列客户机端问题(主要是基于 DOM 的跨站点脚本编制)。JSA 分析 AppScan® Enterprise 在“探索”阶段中收集的 HTML 页面。JSA 与“测试”阶段并行运行,或者可以随时手动对现有“探索”结果启动。
- 通过高级配置选项优化扫描
使用此任务来配置具有复杂配置的高级扫描。对于需要大量用户交互以浏览应用程序的 Web 应用程序或者如果您只想测试应用程序的特定区域,请使用该方法。
- 捕获并导入流量数据
- 从 AppScan Standard 导入基于操作的登录文件
AppScan Standard 中基于操作的登录功能将生成用户在浏览器中的实际操作,而不仅仅是请求,并将在浏览器中重放此序列。通过在 AppScan Standard 创建基于操作的登录并将其导入 AppScan Enterprise 中来利用该功能,从而帮助在扫描期间避免离开会话的事件。
- 从 AppScan Standard 导入手动探索数据
可以将从 AppScan® Standard V7.x(和更高版本)导出的数据导入到 AppScan® Enterprise 中。导入该数据能为您节省时间,并减少冗余的工作量。只有来自 AppScan® .exd 文件的 URL(参数和域)与 HTTP 请求才会导入。
- 导入要在报告中使用的 AppScan 数据
导入作业从数据文件获取结果,并将其集成到 AppScan® Enterprise Server 数据库中。导入的数据可用于创建报告和仪表板。它也可以结合来自内容扫描作业的内容来完整展现您的问题。