主页
參照
檢閱產品的參照資訊。
「資料夾瀏覽器」主題
進一步瞭解資料夾瀏覽器主題。
在「資料夾瀏覽器」中建立掃描
進一步瞭解如何在資料夾瀏覽器中建立掃描。
以進階配置選項使掃描最佳化
請利用這項作業，以複式配置來配置進階掃描。如果 Web 應用程式需要與使用者頻繁互動才能導覽應用程式，或者您只想測試應用程式的特定區域，請使用此方法。
讓靜態分析資料與動態分析資料產生關聯
從 AppScan® Source 匯入資料，以便讓它的發現項目和現有的動態分析安全掃描（AppScan Enterprise Server 內容掃描工作或 AppScan Standard 匯入工作）建立關聯。
相關性（混合式分析）的運作方式
沒有任何一種單一的自動化分析技術能找出所有可能存在的漏洞；每一種技術都有其強項和弱點。「動態分析安全測試 (DAST)」會使用與駭客類似的做法來刺探，藉此來測試執行中的 Web 應用程式。「靜態分析安全測試 (SAST)」會檢查應用程式的原始碼來找尋潛在的漏洞。
混合式分析範例
以下是混合式分析的部分範例。

參照
檢閱產品的參照資訊。
- 「配置精靈」主題
  進一步瞭解配置精靈主題。
- 「資料夾瀏覽器」主題
  進一步瞭解資料夾瀏覽器主題。
  - 在「資料夾瀏覽器」中建立掃描
    進一步瞭解如何在資料夾瀏覽器中使用掃描。
  - 在「資料夾瀏覽器」中建立掃描
    進一步瞭解如何在資料夾瀏覽器中建立掃描。
    - 使用 AppScan Enterprise 的掃描內容來建立 QuickScan 範本
      QuickScan 範本包含一個內容掃描工作或是匯入工作，再加上報告套件。在「資料夾」清單裡的「範本」資料夾中建立好掃描範本之後，它們會自動成為備妥的掃描範本，可供 QuickScan 使用者取用，也可供在「顯示資料夾瀏覽器」清單中開啟了 QuickScan 視圖的更進階使用者取用。當 QuickScan 使用者建立一項掃描時，系統會依據範本建立工作和報告套件，但只在針對該 QuickScan 使用者時，才會顯示為一項掃描。
    - 配置不含安全測試的基本掃描
      請利用這項作業，以最小的配置來配置基本掃描。此掃描將自動在 Web 應用程式中探索更多 URL 以進行測試。這個方法用於應用程式有很多靜態鏈結，並且不需與使用者頻繁互動。此掃描並不會針對安全問題進行測試，但可協助您開始探索網站，以判斷完整網站涵蓋面。
    - 使用 AppScan Enterprise 中的掃描內容來配置安全掃描
      安全掃描應該在暫置伺服器或「品質保證」伺服器之類的前置生產環境中執行。這麼做可協助您納入與執行安全掃描相關聯的風險。您的前置正式作業環境應該儘可能鏡映正式作業環境；在這兩個環境中，應用程式應該有相同的執行檔，您才能確知顯現的應用程式正在進行全面的測試。另外，安全掃描也應該整合在「軟體開發生命週期 (SDLC)」程序中，以便在安全問題進入正式作業環境之前就能擷取。
    - 安全掃描如何運作
      安全掃描有兩個個別階段：「探索」和「測試」。
    - 安全測試工作流程
      配置安全掃描必須很小心，這樣它才能夠找到您 Web 應用程式中的所有 URL，並測試其中是否有漏洞。
    - JavaScript™ 原始碼分析如何運作
      「JavaScript™ 安全分析器 (JSA)」執行靜態 JavaScript 原始碼分析，以偵測一系列用戶端問題，主要是 DOM 型跨網站 Scripting。JSA 會分析 AppScan® Enterprise 在「探索」階段期間所收集的 HTML 頁面。JSA 會在「測試」階段進行的同時執行，也可以隨時在現有的「探索」結果上手動啟動。
    - 以進階配置選項使掃描最佳化
      請利用這項作業，以複式配置來配置進階掃描。如果 Web 應用程式需要與使用者頻繁互動才能導覽應用程式，或者您只想測試應用程式的特定區域，請使用此方法。
      - 新增其他伺服器和網域至掃描中
        如果要將其他網域和多重伺服器環境列入考量，請新增任何其他伺服器和網域到掃描的「掃描項目」頁面中。
      - 尋找更多內容
        XRule 是一份 XML Script，用來加強對於網站或應用程式的掃描作業，以及搜尋資料庫來找出掃描所收集的資訊。當利用它來加強工作掃描網站的能力時，XRule 可以在 Flash 檔內尋找鏈結，在 JavaScript™ 內尋找動態建立的鏈結，或通過登入常式。
      - 掃描 WebSphere® Portal
        指定要掃描的入口網站。
      - 設定掃描限制
        設定掃描限制，讓掃描有其焦點。您可以利用頁數、重複內容路徑或點選深度，來限制掃描。
      - 從掃描中排除 URL
        排除項目是用來在掃描期間排除特定檔案、目錄或檔案類型，不需要進行分析。您的網站可能會有一個區段，倘若併入分析，也許會因為在建構中，有已知問題，將負面影響整體掃描結果。藉由排除這個網站區段，您可以防止它影響報告和儀表板結果。
      - 將 URL 與表單正規化
        正規化規則可以協助掃描工作判斷 URL 和表單是否唯一，以免在報告中不正確地重複。
      - 定義參數和 Cookie
        您可能會有需要特殊處理的參數和 Cookie，例如，您不要掃描去操作的階段作業 ID 和參數。
      - 處理登入和登出頁面
        配置掃描如何處理 Web 應用程式的登入和登出頁面。請利用登入序列來遵循複雜登入程序，或輸入用來偵測掃描將遇到之登出頁面的正規表示式。識別登出頁面，是為了防止掃描提早登出應用程式或網站。
      - 自動填妥 Web 表單
        「自動表單填入」用來將它所遇到的表單欄位值提供給內容掃描工作。當使用您提供的欄位值時，掃描便無須中斷，得以繼續探索其他 URL 和內容來進行分析。
      - 連接 Web 伺服器
        定義掃描工作連接您的網路時所表現的行為。
      - 向網站鑑別
        當掃描工作遇到一個需要 Windows™ NT® 鑑別的頁面時，自動會提供您所選擇的使用者名稱和密碼。對於已鑑別的頁面，您可以新增使用者名稱和密碼。用戶端憑證指定掃描引擎及手動探索/已錄製的登入是根據特定用戶端憑證檔或服務帳戶的憑證儲存庫來接受試圖掃描之伺服器的鑑別。
      - 識別自訂錯誤頁面，使掃描能夠辨識它們
        網站上利用自訂錯誤頁面來確保使用者在遇到中斷鏈結時，不會走到「盡頭」。相反地，錯誤頁面會引導使用者進入另一頁，例如首頁。
      - 配置掃描隱私權聲明鏈結
        當網站要求資訊時，請務必讓網站訪客很容易判斷資料的用途。網站的隱私權原則說明收集資料的原因、誰將有權存取這項資料，以及資料提交之後，網站訪客所擁有關於這項資料的權利類型。在含有收集個人資料之表單的頁面中，提供控管這項資料之隱私權原則的鏈結，是在必要之時，向使用者提供資訊的最佳方式。
      - 手動探索網站，在掃描中新增其他 URL
        「手動探索」意指您將在配置中指出掃描要測試的確切 URL（掃描不會自動搜索來發現新的 URL）。如果 Web 應用程式需要與使用者頻繁互動才能導覽應用程式，或者您只想測試應用程式的特定區域，請使用此方法。
      - 讓靜態分析資料與動態分析資料產生關聯
        從 AppScan® Source 匯入資料，以便讓它的發現項目和現有的動態分析安全掃描（AppScan Enterprise Server 內容掃描工作或 AppScan Standard 匯入工作）建立關聯。
        相關性（混合式分析）的運作方式
        沒有任何一種單一的自動化分析技術能找出所有可能存在的漏洞；每一種技術都有其強項和弱點。「動態分析安全測試 (DAST)」會使用與駭客類似的做法來刺探，藉此來測試執行中的 Web 應用程式。「靜態分析安全測試 (SAST)」會檢查應用程式的原始碼來找尋潛在的漏洞。
        混合式分析範例
        以下是混合式分析的部分範例。
        混合式分析的最佳實務
        因為測試方法之間有很大的不同，而相關性百分比則相對地較低。各種分析類型的挑戰和強項都有所不同，如本表所述。
        靜態分析發現項目和動態分析問題之間的差異
        瞭解發現項目和問題之間的差異，讓報告更具意義。
      - 增量掃描
      - 測試最佳化視圖
        「測試最佳化」會使用 AppScan® 的智慧型測試過濾，以在需要速度時實現更快的掃描，並將問題涵蓋範圍的損失降至最低。您可以在四種最佳化層次之間進行選擇，取決於您的需求。
      - 重新測試安全問題
        重新測試安全問題是一種快速的方法，供您驗證確實修復了問題。您可以選取一或多個已修正的問題，立即加以重新測試，並不需要執行整個工作來查看結果。
    - 擷取及匯入資料流量資料
    - 從 AppScan Standard 匯入動作型登入檔案
      AppScan Standard 中的動作型登入功能會在瀏覽器中產生使用者的實際動作，而不只是要求，並在瀏覽器中重播該序列。您可以在 AppScan Standard 中建立動作型登入並將它匯入 AppScan Enterprise 來運用這項功能，以協助避免在掃描期間發生離開階段作業事件。
    - 從 AppScan® Standard 匯入手動探索資料
      您可以將從 AppScan® Standard 7.x 版（以及更新版本）匯出的資料，匯入到 AppScan Enterprise。匯入這項資料可以節省時間，縮減重複的工作成本。只會匯入來自 AppScan.exd 檔的 URL（參數及網域）和 HTTP 要求。
    - 匯入 AppScan® 資料，供報告使用
      匯入工作從資料檔取得結果，再將它整合到 AppScan® Enterprise Server 資料庫中。匯入的資料可用來建立報告和儀表板。另外，還可以與內容掃描工作的資料結合起來，建立您完整的問題圖像。
- 利用報告進行分類
  執行工作之後會自動產生報告。這些報告提供管理問題的方法，可協助您管理組織的重要問題，並且以 Enterprise Console 的工作流程及組織內其他程序的工作流程都支援的方式來執行這項作業。
- 配置管理程式

混合式分析範例

以下是混合式分析的部分範例。

在此報告畫面擷取中，DAST 和 SAST 兩者都發現了「跨網站 Scripting」漏洞。

如果我們查看 DAST 的「關於此問題」報告，就會知道這個問題是在 'uid' 參數中發現的，問題症狀是 ASP.NET_SessionID cookie 被移除，然後在 'uid' 參數的值中注入了 '1234"/>alert(1558)</script>'。因為 Appscan 已成功地將 Script 嵌入回應，並且一旦頁面載入至使用者瀏覽器後將執行，所以將此測試標示為易受攻擊。這表示位於下列 URL 的應用程式易受到「跨網站 Scripting」的攻擊：http://demo.testfire.net/bank/login.aspx.

如果我們查看 SAST 的「關於此問題」報告，會發現程式碼掃描在 C:\WebTest\Default.aspx.cs（http://demo.testfire.net/bank/login.aspx 的原始碼頁面）發現了相同的漏洞。

因為 URL、實體和問題類型均相符，所以被視為直接相關。