安全測試工作流程

配置安全掃描必須很小心,這樣它才能夠找到您 Web 應用程式中的所有 URL,並測試其中是否有漏洞。

開始之前

如果要順利掃描您的網站,您必須確定:
  • 儘可能全面掃描網站。
  • 不掃描重複或不相關的內容。
  • 報告結果有用,而且精確。
符合這些條件而成功的掃描需要採取反覆的方式。另外,您也必須確實理解網站的結構和技術。
  • 您第一次掃描時,最好要限制起始 URL 的數目,使掃描進度快一些。
  • 您可以新增無效的 URL 作為起始 URL,來掃描不是在您的一般起始 URL 之中及之下的頁面。
  • 知道將掃描之 URL 的確切名稱是很好的構想。每個 URL 都應該有效,否則,工作便無法掃描它。當工作進行掃描而發現無效的 URL 時,它會繼續進入「現有的起始 URL」表格中的下一個 URL。不過,無效的 URL 可用來掃描不在起始 URL 中的目錄。

程序

  1. 「產品管理者」建立要測試的伺服器群組。請參閱建立伺服器群組
  2. 「產品管理者」啟用要掃描的 IP 位址。請參閱啟用和停用 IP 位址掃描
  3. 「產品管理者」建立/匯入要使用的安全測試原則。請參閱從 AppScan Standard 匯入進階安全測試原則建立簡易安全測試原則
  4. 瀏覽網站,尋找可能干擾您掃描的項目。部分範例包括:
    • 登入頁面
    • 排除項目,例如「新增至」購物車、列印這個頁面,以及直欄標題排序等
    • 階段作業 ID 及其他參數
    • 自訂錯誤頁面
    • 可能需要值的表單
    • Flash 或 JavaScript
  5. 配置安全掃描並執行它。請參閱使用 AppScan Enterprise 中的掃描內容來配置安全掃描
  6. 修正及展開掃描。您的測試掃描報告結果應該會指出掃描需要如何修正。
    1. 掃描提早結束嗎?若是如此,可能是有登出頁面使掃描停止。
    2. 檢查報告中的誤判。
    3. 判斷您是否必須從報告中移除相同的頁面或相同的表單。頁面和表單可能有參數(查詢字串或 POST 資料)或 Cookie,使它們以不同方式出現在掃描面前,但它們實際上是相同的。您必須將 URL 和表單正規化,以便從它們移除階段作業 ID 之類的參數。之後,掃描便會將它們重新辨識為相同。正規化是在「伺服器和網域」層次,藉由編輯廣域網域來進行,或在個別掃描工作層次進行。在特定網域中掃描的所有 URL 和表單,都可以套用相同的規則。
    4. 如果未探索到應用程式的某些 URL,請利用「手動探索」,以手動方式探索網站,將 URL 新增到掃描中。
    5. 參閱網站架構報告,來判斷是否有其他網域或目錄需要掃描。被識別為外部的網域可以新增到「掃描項目」頁面中,從而併入掃描中。如果這個頁面列出任何尚未掃描的網域,可能是登入頁面造成無法抵達這些網域。
    6. 根據結果來重新評估內容的配置方式。您可能需要配置其他內容,也可能需要變更現有內容的設定。
    1. 重複前兩個步驟,直到確定已適當掃描和分析整個網站或應用程式(沒有誤判錯誤,等等)。
  7. 修正漏洞,然後重新測試安全問題。請參閱重新測試安全問題
  8. (選用)測試 Web 服務是否有安全漏洞。請參閱測試 Web 服務是否有安全漏洞
  9. 執行「安全儀表板」,並分送結果。請參閱執行預先建立的儀表板