手动探索站点来将更多 URL 添加到扫描

手动探索意味着您将在配置中指示要测试的扫描的准确 URL(扫描将不会自动搜索发现新的 URL)。对于需要大量用户交互以浏览应用程序的 Web 应用程序或者如果您只想测试应用程序的特定区域,请使用该方法。

开始之前

Get ready:
  1. 在执行手动探索前,请确保已将 Internet Explorer 的“因特网高级选项”设置为使用 HTTP 1.1。
  2. 如果是在本地机器上手动探索应用程序,那么必须确保手动探索浏览器中使用的主机名不同于用来访问 Enterprise Console 的主机名。否则,扫描可能无法访问 URL。例如,如果您使用 https://server1/ase 来访问 Enterprise Console,那么请在手动探索时使用 https://server1.domain.com/ase

关于此任务

如果出现下列情况,请手动探索站点:

  • 在不知道精确 URL 的情况下将页面添加到“起始 URL”列表。
  • 想要添加由于扫描遗漏而未自动发现的页面(例如,非标准 js 向后发布为链接、嵌入式 js 或 Flash 链接)。
  • 想要添加出于其他原因而未自动发现的页面(例如,孤立页面)。
还可将“手动探索”与 web 站点的自动爬行结合使用。在该情况下,扫描将测试您手动访问的所有页面以及 AppScan Enterprise 自动发现的那些页面。缺省情况下,AppScan Enterprise 包含自动探索,但可使用以下某种方法将其关闭:
  • 对于“扫描”视图中的内容扫描作业,转至“探索选项”页面。在扫描限制部分中,选择指定 URL 限制(在起始 URL、“手动探索”和“已记录登录”属性中指定的 URL。不搜寻)
  • 对于基于 *.scant 模板的扫描,转至 AppScan Dynamic Analysis Client 中的“作业属性”页面。在扫描部分中,选择仅测试
有时候您可能仅想要测试一些页面;例如,当前是否正在开发这些页面,或者它们是否包含未修正的问题。使用带有上述某个选项的“手动探索”可运行小型的隔离扫描。在其他情况下,可能想要扫描整个站点。可将“手动探索”与“自动探索”选项结合使用来确保访问所有页面以实现全面的覆盖范围。在这些实例中,使用缺省选项。
警告: 请勿在扫描配置中使用任何私密信息,因为此数据可能会被第三方查看。要继续进行浏览器记录,请确保您已从任何现有会话注销。在手动浏览过程中使用测试用户帐户以避免用户名和密码以明文形式显示在 Enterprise Console 界面上。

过程

  1. 在作业的“扫描内容”页面的“手动探索”部分中,单击添加图标(添加)。
  2. 在“手动探索”页面上,选择使用 Manual Explorer 工具或 AppScan Standard 探索数据文件
  3. 下载并安装该工具。
    注:
    • 托管 Manual Explorer 工具的机器还必须支持 FIPS,以便此工具正常运行。
    • 如果您要使用 Microsoft Windows 2008 Server(带有或不带 R2),那么在尝试安装此工具时可能会遇到以下错误消息:“系统管理员已设置策略来阻止此安装”。服务器上设置的组策略不允许常规用户执行安装。请要求系统管理员为您更改组策略或安装该工具。
  4. 要启动 Manual Explorer,请转至开始菜单 > HCL AppScan Manual Explorer 或桌面图标。
  5. 单击文件 > 首选项并配置记录工具的设置:
    • 浏览器
      注:
      1. Internet Explorer/Google Chrome:如果在您进行记录之前浏览器的任何实例在运行,请将其关闭,包括在运行 AppScan® Enterprise 的实例。完成记录时,可以重新打开浏览器。
      2. Mozilla Firefox:
        • 如果 AppScan® Enterprise 在使用系统代理并且您尝试通过 Internet Explorer 或 Google Chrome 进行记录,请关闭 Firefox 浏览器,执行记录,然后重新打开 Firefox 浏览器。
        • 如果您是首次使用 Firefox 来通过 Manual Explorer 记录流量数据,请确保关闭所有打开的 Firefox 浏览器实例。
    • 无效证书连接
    • 首选代理端口。在记录期间,如果此端口在使用中,那么将改用另一个端口并将在此处进行指示。
    • 跟踪日志级别
  6. 单击 AppScan® Manual Explorer 工具上的记录并浏览应用程序。
    注: 如果探索 https:// 站点,那么您可能会收到有关证书无效的错误消息。这在 Manual Explorer 工具上是无效证书,在 Web 站点上则不是;请接受该证书。
  7. 在完成对站点的浏览之后,保存此文件并关闭 Manual Explorer 工具。
  8. 在内容扫描作业的“手动探索”页面上,导入 *.htd 文件,关闭窗口,然后单击保存以将 URL 添加到扫描。
  9. 在“手动探索的 URL”页面上,复审发现的 URL 的列表。
  10. 手动探索的 URL 列表中选择您想要除去的 URL,然后单击除去
  11. 手动探索的其他域列表中选择您想要除去的域,单击除去;然后单击保存
    注: 如果在完成编辑之前意外单击了保存,您仍然可以在“扫描对象”页面中进行编辑。
  12. 手动探索的自动表单填充字段页面上,复审手动探索期间发现的“自动表单填写字段”,除去您不想包含在扫描中的任何字段,然后单击保存
  13. (可选)如果希望扫描按排列的顺序测试 URL,请选中“扫描对象”页面的手动探索部分中的复选框。在只能通过以特定顺序(多步操作)发送请求来访问您 Web 应用程序的部分时,选择此选项。扫描在发送测试之前,将按您记录 URL 的顺序来回放这些 URL。
    注:

    Web 应用程序的某些部分(例如购物车或申请银行帐户)只能通过以特定顺序发送请求来访问。您可以配置扫描以按顺序回放这些 URL。在此示例中,用户在线购物并访问在线购物车应用程序中的三个页面:

    • 页面 A:添加一项或多项商品到购物车。
    • 页面 B:填写付款和装运详细信息。
    • 页面 C:接收订单已完成的确认。

    页面 B 只能从页面 A 访问,页面 C 只能从页面 A 然后经页面 B 访问。在手动探索期间,会记录单一顺序:页面 A > 页面 B > 页面 C。要测试页面 C,扫描必须在每次测试之前发送正确顺序的 HTTP 请求。当测试页面 B 时,扫描将首先发送页面 A 请求;当测试页面 C 时,它将发送页面 A 请求,然后再发送页面 B 请求。

    1. 扫描发送 A,对 B 执行测试 1
    2. 扫描发送 A,对 B 执行测试 2
    3. 扫描发送 A、B,对 C 执行测试 1
    4. 扫描发送 A、B,对 C 执行测试 2
    由于多步操作的性质,扫描性能可能缓慢,因为多步请求是以单线程方式发送的。

结果

从手动探索添加的 URL 会添加到 Additional URLs 列表中,并会使用与“起始 URL”列表相同的方法来处理。从手动探索添加的域会添加到Additional Domains列表中。

下一步做什么

将额外的服务器和域添加到扫描中