支援的技術

請務必瞭解您的網站所使用的哪些技術可能會影響 AppScan 掃描網站的能力,以及哪些技術完全不會影響掃描。

  • AppScan 是個「黑箱」(DAST) 工具,使用與瀏覽器相同的機制來掃描您的網站。因此,一般而言,對瀏覽器透通的伺服器端技術,對 AppScan 也會是透通的,不會影響掃描。
  • JavaScript 和 HTTP 協定本身等的用戶端技術,會影響 AppScan。與瀏覽器不同的是,AppScan 在某個程度需要瞭解這些技術,以容許自動搜索、階段作業維護以及測試。在這些情況下,您需要配置 AppScan 以正確掃描。

AppScan 的掃描由兩個階段組成:「探索」和「測試」。對於每一個階段,下表提供一些準則,供您瞭解哪些伺服器端和用戶端技術可能影響掃描,以及在哪些情況下需要配置。

表 1. 支援的技術
伺服器端技術 用戶端技術
「探索」階段

不會影響用戶端的任何伺服器端技術(例如,使用特定資料庫)都不會影響掃描。

如果已正確地配置 AppScan,則許多影響用戶端的機制(例如階段作業管理)並不會限制掃描。例如,Web 伺服器和應用程式伺服器會影響階段作業 ID 的管理方式,但 AppScan 必須能夠追蹤這些 ID。許多通用的階段作業 ID 是預先定義的,或是可由 AppScan 自動偵測,不需要額外的配置。不過,某些自訂機制可能仍然需要額外的配置。

AppScan 特別支援 WebSphere Portal 自訂 URL。WebSphere Portal 編碼 URL 的方式,使其很難如表面般追蹤。AppScan 會解碼 URL,讓它們可以被瞭解及調整。

Glass box 掃描僅對 Java 和 .NET 提供支援。

當今使用的兩種主要用戶端技術為 HTML5 和 JavaScript,兩者都會影響掃描的「探索」階段:

AppScan 在「探索」階段支援 HTML。這表示可以擷取鏈結、可以瞭解及填寫表單等等。

AppScan 支援(執行)一般的 JavaScript。其支援一些主要架構,包括 JQuery、AngularJS 和 PrototypeJS。雖然沒有特別支援許多其他的 JS 架構,但並不會限制掃描。

如果自動「探索」階段因為特定的技術而遺失頁面,在自動「探索」階段之後「測試」階段之前,可以透過手動探索網站的方式將頁面新增至掃描。

「測試」階段 AppScan 是設計來測試應用程式而不是其支援的技術;因此,不會影響測試。再次考量資料庫:AppScan 的「SQL 注入」測試的套組與使用的資料庫無關。它也對提供了特定的測試來進行協力廠商測試(「常見漏洞」測試)。

用戶端測試只對 JavaScript 程式碼執行。目前,只會偵測到一般 JS 漏洞。

不支援「JS 架構」;可能無法適當地分析使用架構的 JS 程式碼。

完整支援 HTML5。