手动探索站点来将更多 URL 添加到扫描

手动探索意味着您将在配置中指示要测试的扫描的准确 URL(扫描将不会自动搜索发现新的 URL)。对于需要大量用户交互以浏览应用程序的 Web 应用程序或者如果您只想测试应用程序的特定区域,请使用该方法。

开始之前

如果是在本地机器上手动探索应用程序,那么必须确保手动探索浏览器中使用的主机名不同于用来访问 Enterprise Console 的主机名。否则,扫描可能无法访问 URL。例如,如果您使用 https://server1/ase 来访问 Enterprise Console,那么请在手动探索时使用 https://server1.domain.com/ase

关于此任务

如果出现下列情况,请手动探索站点:

  • 在不知道精确 URL 的情况下将页面添加到“起始 URL”列表。
  • 想要添加由于扫描遗漏而未自动发现的页面(例如,非标准 js 向后发布为链接、嵌入式 js 或 Flash 链接)。
  • 想要添加出于其他原因而未自动发现的页面(例如,孤立页面)。
还可将“手动探索”与 web 站点的自动爬行结合使用。在该情况下,扫描将测试您手动访问的所有页面以及 AppScan Enterprise 自动发现的那些页面。缺省情况下,AppScan Enterprise 包含自动探索,但可使用以下某种方法将其关闭:
  • 对于“扫描”视图中的内容扫描作业,转至“探索选项”页面。在扫描限制部分中,选择指定 URL 限制(在“起始 URL”、“手动浏览”和“已记录登录”属性中指定的 URL。不搜寻)
  • 对于基于 *.scant 模板的扫描,转至 AppScan Dynamic Analysis Client (ADAC) 中的作业属性页面。在扫描部分中,选择仅测试。要使用 ADAC 客户端手动探索站点,请参阅手动探索
有时候您可能仅想要测试一些页面;例如,当前是否正在开发这些页面,或者它们是否包含未修正的问题。使用带有上述某个选项的“手动探索”可运行小型的隔离扫描。在其他情况下,可能想要扫描整个站点。可将“手动探索”与“自动探索”选项结合使用来确保访问所有页面以实现全面的覆盖范围。在这些实例中,使用缺省选项。
警告: 请勿在扫描配置中使用任何私密信息,因为此数据可能会被第三方查看。要继续进行浏览器记录,请确保您已从任何现有会话注销。在手动浏览过程中使用测试用户帐户以避免用户名和密码以明文形式显示在 Enterprise Console 界面上。

过程

  1. 在作业的“扫描内容”页面的“手动浏览”部分中,单击添加图标(添加)。
  2. 在内容扫描作业的“手动探索”页面上,导入记录的文件,关闭窗口,然后单击保存以将 URL 添加到扫描。有关更多信息,请参阅 捕获并导入流量数据
  3. 在“手动探索的 URL”页面上,复审发现的 URL 的列表。
  4. 手动探索的 URL 列表中选择您想要除去的 URL,然后单击除去
  5. 手动探索的其他域列表中选择您想要除去的域,单击除去;然后单击保存
    注: 如果在完成编辑之前意外单击了保存,您仍然可以在“扫描对象”页面中进行编辑。
  6. 手动探索的自动表单填充字段页面上,复审手动探索期间发现的“自动表单填写字段”,除去您不想包含在扫描中的任何字段,然后单击保存
  7. (可选)如果希望扫描按排列的顺序测试 URL,请选中“扫描对象”页面的手动探索部分中的复选框。在只能通过以特定顺序(多步操作)发送请求来访问您 Web 应用程序的部分时,选择此选项。扫描在发送测试之前,将按您记录 URL 的顺序来回放这些 URL。
    注:

    Web 应用程序的某些部分(例如购物车或申请银行帐户)只能通过以特定顺序发送请求来访问。您可以配置扫描以按顺序回放这些 URL。在此示例中,用户在线购物并访问在线购物车应用程序中的三个页面:

    • 页面 A:添加一项或多项商品到购物车。
    • 页面 B:填写付款和送货详细信息。
    • 页面 C:收到订单完成的确认

    页面 B 只能从页面 A 访问,页面 C 只能从页面 A 然后经页面 B 访问。在手动探索期间,会记录单一顺序:页面 A > 页面 B > 页面 C。要测试页面 C,扫描必须在每次测试之前发送正确顺序的 HTTP 请求。当测试页面 B 时,扫描将首先发送页面 A 请求;当测试页面 C 时,它将发送页面 A 请求,然后再发送页面 B 请求。

    1. 扫描发送 A,对 B 执行测试 1
    2. 扫描发送 A,对 B 执行测试 2
    3. 扫描发送 A、B,对 C 执行测试 1
    4. 扫描发送 A、B,对 C 执行测试 2
    由于多步操作的性质,扫描性能可能缓慢,因为多步请求是以单线程方式发送的。

结果

从手动浏览添加的 URL 会添加到 Additional URLs 列表中,并会使用与“起始 URL”列表相同的方法来处理。从手动浏览添加的域会添加到 Additional Domains 列表中。

下一步做什么

将额外的服务器和域添加到扫描中