使用 AppScan Enterprise 扫描属性根据模板创建扫描
QuickScan 使用管理员所创建的扫描模板中设置的参数在站点中进行搜索以发现其内容。扫描收集数据后,此数据将存储在数据库中,由报告引擎进行分析,并且您可以通过报告包(报告的集合)使用此数据。大多数数据分析任务都将把焦点放在这些报告提供的数据上。
开始之前
- 该任务由具有 QuickScan 用户许可权的开发人员完成。AppScan Enterprise V9.0.2 引入了用于创建扫描的新方法。该方法有助于创建一致的扫描配置和结果。请参阅使用 AppScan Standard 扫描属性根据模板创建扫描。
- 您可能需要安装浏览器插件以使用手动探索或记录登录功能。您还可以使用 Manual Explorer 工具。
关于此任务
警告: 请勿在扫描配置中使用任何私密信息,因为此数据可能会被第三方查看。要继续进行浏览器记录,请确保您已从任何现有会话注销。在手动浏览过程中使用测试用户帐户以避免用户名和密码以明文形式显示在 Enterprise Console 界面上。
注:
- 根据您使用的模板,此任务中讨论的一些选项可能对您不可用。
- 如果需要配置某些更高级的扫描选项(例如,设置 URL 排除),请单击“设置”选项卡底部的高级扫描配置链接。
过程
- 在“扫描”视图中,从 QuickScan 模板列表(在工具栏下方)中选择扫描模板,在字段中输入起始 URL,并单击创建 QuickScan 图标。根据您选择的模板,将打开“设置”选项卡或记录浏览器。
- 如果“设置”选项卡打开,请在必要时将扫描名称编辑为对贵组织更有意义的内容。扫描名称缺省为您在上一页输入的 URL 的名称。
- (可选)导入流量数据:
- 如果记录浏览器打开,请遵循以下步骤:
- 手动浏览站点,与此同时输入数据并单击链接。QuickScan 将记录所有输入,直至您单击停止记录按钮或关闭记录浏览器为止。
- 您完成探索应用程序后,请单击停止或关闭浏览器。将打开“设置”选项卡。
- 如有必要,将扫描名称编辑为对贵组织更有意义的内容。扫描名称缺省为您在上一页输入的 URL 的名称。
- 检查要扫描的 URL 列表以验证 QuickScan 是否已准确识别您应用程序的登录页面,以及您是否拥有在已记录的 URL 上运行安全性测试的许可权。登录页面之前记录的所有页面都归类为登录序列的一部分。在登录页面后记录的页面分类为常规页面。如果您想要对某些 URL 重新分类,请选择这些 URL 并将其移至 URL 列表中相应行的上方或下方。如有必要,您可以重新记录登录序列,或者手动探索站点以将 URL 添加到扫描。
- 选择您希望完成扫描的方式。如果将扫描设置为搜寻的页数不受限制,那么扫描可能需要很长时间才能完成。
- (可选)选择登录会话标识以将其作为被跟踪的会话标识添加到域的全局列表。列表中显示灰色的会话标识已存在于域的全局列表中。记录的登录序列期间找到未显示灰色的会话标识。
- 继续步骤 4。
- (可选)配置自动登录。如果应用程序需要一次性登录,请使用用户名和密码,让扫描为您自动登录。
- (可选)启用或禁用会话中检测。会话中模式详细信息部分显示了在扫描以验证其是否登录期间所使用的会话中模式。如果这不是您想要使用的模式,请输入其他模式,然后单击更新以验证模式。
- 单击更多扫描选项以配置可选的扫描属性。
- 配置扫描完成后,单击保存,保存扫描选项。
- 开始扫描。将打开“进度”选项卡,并显示扫描运行中的扫描统计信息。您也可以选择下列操作:
- 保存当前结果并停止:保存当前结果并停止作业。该运行过程将正常结束并将迄今收集到的数据保存到数据库中,但报告将不完整。
- 废弃结果并停止:丢弃在运行期间收集到的任何数据并停止作业。
下一步做什么
扫描结果准备就绪时,您可以在“结果”选项卡上查看报告。报告显示关于您 Web 站点或应用程序的信息,并提供浏览更多详细信息的功能。大多数数据分析任务都将把焦点放在这些报告提供的数据上。