支援的技術
請務必瞭解您的網站所使用的哪些技術可能會影響 AppScan 掃描網站的能力,以及哪些技術完全不會影響掃描。
- AppScan 是個「黑箱」(DAST) 工具,使用與瀏覽器相同的機制來掃描您的網站。因此,一般而言,對瀏覽器透通的伺服器端技術,對 AppScan 也會是透通的,不會影響掃描。
- JavaScript 和 HTTP 協定本身等的用戶端技術,會影響 AppScan。與瀏覽器不同的是,AppScan 在某個程度需要瞭解這些技術,以容許自動搜索、階段作業維護以及測試。在這些情況下,您需要配置 AppScan 以正確掃描。
AppScan 的掃描由兩個階段組成:「探索」和「測試」。對於每一個階段,下表提供一些準則,供您瞭解哪些伺服器端和用戶端技術可能影響掃描,以及在哪些情況下需要配置。
伺服器端技術 | 用戶端技術 | |
---|---|---|
「探索」階段 |
不會影響用戶端的任何伺服器端技術(例如,使用特定資料庫)都不會影響掃描。 如果已正確地配置 AppScan,則許多會影響用戶端的機制(例如階段作業管理)並不會限制掃描。例如,Web 伺服器和應用程式伺服器會影響階段作業 ID 的管理方式,但 AppScan 必須能夠追蹤這些 ID。許多通用的階段作業 ID 是預先定義的,或是可由 AppScan 自動偵測,不需要額外的配置。不過,某些自訂機制可能仍然需要額外的配置。 AppScan 特別支援 WebSphere Portal 自訂 URL。WebSphere Portal 編碼 URL 的方式,使其很難如表面般追蹤。AppScan 會解碼 URL,讓它們可以被瞭解及調整。 Glass box 掃描僅對 Java 和 .NET 提供支援。 |
當今使用的兩種主要用戶端技術為 HTML5 和 JavaScript,兩者都會影響掃描的「探索」階段: AppScan 在「探索」階段支援 HTML。這表示可以擷取鏈結、可以瞭解及填寫表單等等。 AppScan 支援(執行)一般的 JavaScript。其支援一些主要架構,包括 JQuery、AngularJS 和 PrototypeJS。雖然沒有特別支援許多其他的 JS 架構,但並不會限制掃描。 如果自動「探索」階段因為特定的技術而遺失頁面,在自動「探索」階段之後「測試」階段之前,可以透過手動探索網站的方式將頁面新增至掃描。 |
「測試」階段 | AppScan 是設計來測試應用程式而不是其支援的技術;因此,不會影響測試。再次考量資料庫:AppScan 的「SQL 注入」測試的套組與使用的資料庫無關。它也對提供了特定的測試來進行協力廠商測試(「常見漏洞」測試)。 | 用戶端測試只對 JavaScript 程式碼執行。目前,只會偵測到一般 JS 漏洞。 不支援「JS 架構」;可能無法適當地分析使用架構的 JS 程式碼。 完整支援 HTML5。 |