主页
參照
檢閱產品的參照資訊。
「資料夾瀏覽器」主題
進一步瞭解資料夾瀏覽器主題。
在「資料夾瀏覽器」中建立掃描
進一步瞭解如何在資料夾瀏覽器中建立掃描。
以進階配置選項使掃描最佳化
請利用這項作業，以複式配置來配置進階掃描。如果 Web 應用程式需要與使用者頻繁互動才能導覽應用程式，或者您只想測試應用程式的特定區域，請使用此方法。
處理登入和登出頁面
配置掃描如何處理 Web 應用程式的登入和登出頁面。請利用登入序列來遵循複雜登入程序，或輸入用來偵測掃描將遇到之登出頁面的正規表示式。識別登出頁面，是為了防止掃描提早登出應用程式或網站。
透過登入配置探索性來改進應用程式登入
在應用程式登入期間，要讓自動化程式能夠正確探索階段作業 ID、處理 JavaScript™ 執行作業、略過安全控制項，或識別「階段作業中頁面」，相當具有挑戰性。

參照
檢閱產品的參照資訊。
- 「配置精靈」主題
  進一步瞭解配置精靈主題。
- 「資料夾瀏覽器」主題
  進一步瞭解資料夾瀏覽器主題。
  - 在「資料夾瀏覽器」中建立掃描
    進一步瞭解如何在資料夾瀏覽器中使用掃描。
  - 在「資料夾瀏覽器」中建立掃描
    進一步瞭解如何在資料夾瀏覽器中建立掃描。
    - 使用 AppScan Enterprise 的掃描內容來建立 QuickScan 範本
      QuickScan 範本包含一個內容掃描工作或是匯入工作，再加上報告套件。在「資料夾」清單裡的「範本」資料夾中建立好掃描範本之後，它們會自動成為備妥的掃描範本，可供 QuickScan 使用者取用，也可供在「顯示資料夾瀏覽器」清單中開啟了 QuickScan 視圖的更進階使用者取用。當 QuickScan 使用者建立一項掃描時，系統會依據範本建立工作和報告套件，但只在針對該 QuickScan 使用者時，才會顯示為一項掃描。
    - 配置不含安全測試的基本掃描
      請利用這項作業，以最小的配置來配置基本掃描。此掃描將自動在 Web 應用程式中探索更多 URL 以進行測試。這個方法用於應用程式有很多靜態鏈結，並且不需與使用者頻繁互動。此掃描並不會針對安全問題進行測試，但可協助您開始探索網站，以判斷完整網站涵蓋面。
    - 使用 AppScan Enterprise 中的掃描內容來配置安全掃描
      安全掃描應該在暫置伺服器或「品質保證」伺服器之類的前置生產環境中執行。這麼做可協助您納入與執行安全掃描相關聯的風險。您的前置正式作業環境應該儘可能鏡映正式作業環境；在這兩個環境中，應用程式應該有相同的執行檔，您才能確知顯現的應用程式正在進行全面的測試。另外，安全掃描也應該整合在「軟體開發生命週期 (SDLC)」程序中，以便在安全問題進入正式作業環境之前就能擷取。
    - 安全掃描如何運作
      安全掃描有兩個個別階段：「探索」和「測試」。
    - 安全測試工作流程
      配置安全掃描必須很小心，這樣它才能夠找到您 Web 應用程式中的所有 URL，並測試其中是否有漏洞。
    - JavaScript™ 原始碼分析如何運作
      「JavaScript™ 安全分析器 (JSA)」執行靜態 JavaScript 原始碼分析，以偵測一系列用戶端問題，主要是 DOM 型跨網站 Scripting。JSA 會分析 AppScan® Enterprise 在「探索」階段期間所收集的 HTML 頁面。JSA 會在「測試」階段進行的同時執行，也可以隨時在現有的「探索」結果上手動啟動。
    - 以進階配置選項使掃描最佳化
      請利用這項作業，以複式配置來配置進階掃描。如果 Web 應用程式需要與使用者頻繁互動才能導覽應用程式，或者您只想測試應用程式的特定區域，請使用此方法。
      - 新增其他伺服器和網域至掃描中
        如果要將其他網域和多重伺服器環境列入考量，請新增任何其他伺服器和網域到掃描的「掃描項目」頁面中。
      - 尋找更多內容
        XRule 是一份 XML Script，用來加強對於網站或應用程式的掃描作業，以及搜尋資料庫來找出掃描所收集的資訊。當利用它來加強工作掃描網站的能力時，XRule 可以在 Flash 檔內尋找鏈結，在 JavaScript™ 內尋找動態建立的鏈結，或通過登入常式。
      - 掃描 WebSphere® Portal
        指定要掃描的入口網站。
      - 設定掃描限制
        設定掃描限制，讓掃描有其焦點。您可以利用頁數、重複內容路徑或點選深度，來限制掃描。
      - 從掃描中排除 URL
        排除項目是用來在掃描期間排除特定檔案、目錄或檔案類型，不需要進行分析。您的網站可能會有一個區段，倘若併入分析，也許會因為在建構中，有已知問題，將負面影響整體掃描結果。藉由排除這個網站區段，您可以防止它影響報告和儀表板結果。
      - 將 URL 與表單正規化
        正規化規則可以協助掃描工作判斷 URL 和表單是否唯一，以免在報告中不正確地重複。
      - 定義參數和 Cookie
        您可能會有需要特殊處理的參數和 Cookie，例如，您不要掃描去操作的階段作業 ID 和參數。
      - 處理登入和登出頁面
        配置掃描如何處理 Web 應用程式的登入和登出頁面。請利用登入序列來遵循複雜登入程序，或輸入用來偵測掃描將遇到之登出頁面的正規表示式。識別登出頁面，是為了防止掃描提早登出應用程式或網站。
        透過登入配置探索性來改進應用程式登入
        在應用程式登入期間，要讓自動化程式能夠正確探索階段作業 ID、處理 JavaScript™ 執行作業、略過安全控制項，或識別「階段作業中頁面」，相當具有挑戰性。
        錄製登入序列
        記錄登入序列可讓您教導掃描登入網站的程序：按哪些鏈結、在表單中輸入哪些文字，以及它們的執行順序。
        使用認證來登入應用程式
        您可以配置使用者名稱與密碼認證，讓掃描自動使用它們來登入應用程式。
        識別階段作業中頁面
        利用階段作業中的偵測，掃描可以偵測它是否已登出試圖測試的應用程式。階段作業內型樣是一個在頁面中識別的型樣（例如：登出鏈結），可供掃描用來驗證是否仍為登入狀態。在錄製的登入序列期間，掃描會識別階段作業中頁面。如果這不是您要用於階段作業內偵測的頁面，您可以變更它。
        識別登出頁面
        識別登出頁面，是為了防止掃描提早登出應用程式或網站。
      - 自動填妥 Web 表單
        「自動表單填入」用來將它所遇到的表單欄位值提供給內容掃描工作。當使用您提供的欄位值時，掃描便無須中斷，得以繼續探索其他 URL 和內容來進行分析。
      - 連接 Web 伺服器
        定義掃描工作連接您的網路時所表現的行為。
      - 向網站鑑別
        當掃描工作遇到一個需要 Windows™ NT® 鑑別的頁面時，自動會提供您所選擇的使用者名稱和密碼。對於已鑑別的頁面，您可以新增使用者名稱和密碼。用戶端憑證指定掃描引擎及手動探索/已錄製的登入是根據特定用戶端憑證檔或服務帳戶的憑證儲存庫來接受試圖掃描之伺服器的鑑別。
      - 識別自訂錯誤頁面，使掃描能夠辨識它們
        網站上利用自訂錯誤頁面來確保使用者在遇到中斷鏈結時，不會走到「盡頭」。相反地，錯誤頁面會引導使用者進入另一頁，例如首頁。
      - 配置掃描隱私權聲明鏈結
        當網站要求資訊時，請務必讓網站訪客很容易判斷資料的用途。網站的隱私權原則說明收集資料的原因、誰將有權存取這項資料，以及資料提交之後，網站訪客所擁有關於這項資料的權利類型。在含有收集個人資料之表單的頁面中，提供控管這項資料之隱私權原則的鏈結，是在必要之時，向使用者提供資訊的最佳方式。
      - 手動探索網站，在掃描中新增其他 URL
        「手動探索」意指您將在配置中指出掃描要測試的確切 URL（掃描不會自動搜索來發現新的 URL）。如果 Web 應用程式需要與使用者頻繁互動才能導覽應用程式，或者您只想測試應用程式的特定區域，請使用此方法。
      - 讓靜態分析資料與動態分析資料產生關聯
        從 AppScan® Source 匯入資料，以便讓它的發現項目和現有的動態分析安全掃描（AppScan Enterprise Server 內容掃描工作或 AppScan Standard 匯入工作）建立關聯。
      - Incremental scans
      - Test Optimization view
        Test Optimization uses AppScan®’s intelligent test filtering to achieve faster scans, when speed is needed, with minimal loss of issue coverage. You choose between four optimization levels depending on your needs.
      - 重新測試安全問題
        重新測試安全問題是一種快速的方法，供您驗證確實修復了問題。您可以選取一或多個已修正的問題，立即加以重新測試，並不需要執行整個工作來查看結果。
    - 擷取及匯入資料流量資料
    - 從 AppScan Standard 匯入動作型登入檔案
      AppScan Standard 中的動作型登入功能會在瀏覽器中產生使用者的實際動作，而不只是要求，並在瀏覽器中重播該序列。您可以在 AppScan Standard 中建立動作型登入並將它匯入 AppScan Enterprise 來運用這項功能，以協助避免在掃描期間發生離開階段作業事件。
    - 從 AppScan® Standard 匯入手動探索資料
      您可以將從 AppScan® Standard 7.x 版（以及更新版本）匯出的資料，匯入到 AppScan Enterprise。匯入這項資料可以節省時間，縮減重複的工作成本。只會匯入來自 AppScan.exd 檔的 URL（參數及網域）和 HTTP 要求。
    - 匯入 AppScan® 資料，供報告使用
      匯入工作從資料檔取得結果，再將它整合到 AppScan® Enterprise Server 資料庫中。匯入的資料可用來建立報告和儀表板。另外，還可以與內容掃描工作的資料結合起來，建立您完整的問題圖像。
- 利用報告進行分類
  執行工作之後會自動產生報告。這些報告提供管理問題的方法，可協助您管理組織的重要問題，並且以 Enterprise Console 的工作流程及組織內其他程序的工作流程都支援的方式來執行這項作業。
- 配置管理程式

透過登入配置探索性來改進應用程式登入

在應用程式登入期間，要讓自動化程式能夠正確探索階段作業 ID、處理 JavaScript™ 執行作業、略過安全控制項，或識別「階段作業中頁面」，相當具有挑戰性。

掃描使用一組登入配置探索性來識別下列項目：

要從掃描中刪除的非必要頁面
掃描期間應該追蹤的參數和 Cookie
階段作業中頁面偵測所要使用的最佳頁面

非必要頁面

這些探索性會移除對於取得階段作業而言不重要的頁面。雖然這並無法解決「在階段作業外」問題，但可以改善掃描效能以及其他各組探索性的效能。如果未偵測到任何非必要頁面，您不會注意到這些運作中的探索性。否則，您可以選擇要保留或刪除哪些頁面。

參數與 Cookie

這組探索性會識別掃描期間應該追蹤的參數和 Cookie（掃描引擎會根據目標網站的回應來更新這些實體的值）。這組探索性也會識別使用者名稱和密碼參數，以及登入期間是否需要執行 JavaScript™。

階段作業中頁面和型樣

這組探索性會嘗試識別可用於階段作業中偵測的最佳頁面，然後再從這個頁面中擷取會將這個頁面識別為「已登入」頁面的字串。

Rate this topic

5 stars 4 stars 3 stars 2 stars 1 star

Comment on this topic.

By clicking this box, you acknowledge that you are NOT a U.S. Federal Government employee or agency, nor are you submitting information with respect to or on behalf of one. HCL provides software and services to U.S. Federal Government customers through its partners immixGroup, Inc. Contact this team at https://hcltechsw.com/resources/us-government-contact. Do not include any personal data in this Comment box.