支持的技术
您的站点使用的某些技术可能会影响 AppScan 的扫描能力,而其他技术则根本不会影响扫描。
- AppScan 是一种“黑盒”(DAST) 工具,使用与浏览器相同的机制来扫描您的站点。因此,对于浏览器透明的服务器端技术对于 AppScan 也透明,但不会影响扫描。
- 客户机端技术(如 JavaScript 和 HTTP 协议)本身不影响 AppScan。为了成功扫描,AppScan 利用嵌入在产品中的实际浏览器来处理网页,就像商用浏览器一样。这可确保支持所有常用技术。有时可能需要额外的配置来帮助 AppScan 了解元素的上下文,以进行简单浏览之外的正确处理,通常专门用于扫描的测试阶段。
- 支持 WebSocket 登录记录和登录回放。
AppScan 扫描由两个主要阶段组成:探索和测试。对于每个阶段,下表提供了指导原则,帮助您了解哪些服务器端和客户端技术可能会影响扫描,以及在哪些情况下需要进行配置。
| 服务器端技术 | 客户机端技术 | |
|---|---|---|
| 探索阶段 (Explore stage) |
任何不影响客户机的服务器端技术(如使用的特定数据库)不会以任何方式影响扫描。 如果 AppScan 配置正确,许多确实影响客户端的机制(例如会话管理)将不会限制扫描。例如,Web 服务器和应用程序服务器影响管理会话标识的方式,AppScan 必须能够跟踪这些标识。很多常见会话标识已预定义或可以由 AppScan 自动检测,不需要其他配置。但是,某些自定义机制可能仍然需要额外的配置。 AppScan 特别支持 WebSphere Portal 定制 URL。WebSphere Portal 对 URL 编码,这使得以 URL 所显示的方式来对它们进行跟踪就比较困难。AppScan 会解码这些 URL,以理解这些 URL 并对其进行调优。 |
AppScan 使用完全嵌入式浏览器,它自动支持所有主要技术 (HTML5),包括许多常用的 JavaScript 框架,例如 Angular、React 和 JQuery。 如果自动探索阶段由于阻止自动探索的特定技术或实施而丢失页面,则可以通过在自动探索阶段之后和测试阶段之前手动探索页面来将页面添加到扫描中。 |
| 测试阶段 | AppScan 旨在测试应用程序而不是其支持技术,因此它们不会影响测试。再次考虑数据库:AppScan 的 SQL 注入测试套件独立于所使用的数据库。它还可以为第三方测试(常见漏洞测试)提供特定测试。 | 客户机端 JavaScript 漏洞使用嵌入式浏览器进行测试。同样使用 Black-Box (DAST) 方法实施测试。对浏览器环境进行控制,并按原样执行 JavaScript 以显示漏洞。AppScan 支持现代浏览器所支持的所有执行方法。 |