主页
參照
檢閱產品的參照資訊。
「資料夾瀏覽器」主題
進一步瞭解資料夾瀏覽器主題。
在「資料夾瀏覽器」中建立掃描
進一步瞭解如何在資料夾瀏覽器中建立掃描。
JavaScript™ 原始碼分析如何運作
「JavaScript™ 安全分析器 (JSA)」執行靜態 JavaScript 原始碼分析，以偵測一系列用戶端問題，主要是 DOM 型跨網站 Scripting。JSA 會分析 AppScan® Enterprise 在「探索」階段期間所收集的 HTML 頁面。JSA 會在「測試」階段進行的同時執行，也可以隨時在現有的「探索」結果上手動啟動。

參照
檢閱產品的參照資訊。
- 「配置精靈」主題
  進一步瞭解配置精靈主題。
- 「資料夾瀏覽器」主題
  進一步瞭解資料夾瀏覽器主題。
  - 在「資料夾瀏覽器」中建立掃描
    進一步瞭解如何在資料夾瀏覽器中使用掃描。
  - 在「資料夾瀏覽器」中建立掃描
    進一步瞭解如何在資料夾瀏覽器中建立掃描。
    - 使用 AppScan Enterprise 的掃描內容來建立 QuickScan 範本
      QuickScan 範本包含一個內容掃描工作或是匯入工作，再加上報告套件。在「資料夾」清單裡的「範本」資料夾中建立好掃描範本之後，它們會自動成為備妥的掃描範本，可供 QuickScan 使用者取用，也可供在「顯示資料夾瀏覽器」清單中開啟了 QuickScan 視圖的更進階使用者取用。當 QuickScan 使用者建立一項掃描時，系統會依據範本建立工作和報告套件，但只在針對該 QuickScan 使用者時，才會顯示為一項掃描。
    - 配置不含安全測試的基本掃描
      請利用這項作業，以最小的配置來配置基本掃描。此掃描將自動在 Web 應用程式中探索更多 URL 以進行測試。這個方法用於應用程式有很多靜態鏈結，並且不需與使用者頻繁互動。此掃描並不會針對安全問題進行測試，但可協助您開始探索網站，以判斷完整網站涵蓋面。
    - 使用 AppScan Enterprise 中的掃描內容來配置安全掃描
      安全掃描應該在暫置伺服器或「品質保證」伺服器之類的前置生產環境中執行。這麼做可協助您納入與執行安全掃描相關聯的風險。您的前置正式作業環境應該儘可能鏡映正式作業環境；在這兩個環境中，應用程式應該有相同的執行檔，您才能確知顯現的應用程式正在進行全面的測試。另外，安全掃描也應該整合在「軟體開發生命週期 (SDLC)」程序中，以便在安全問題進入正式作業環境之前就能擷取。
    - 安全掃描如何運作
      安全掃描有兩個個別階段：「探索」和「測試」。
    - 安全測試工作流程
      配置安全掃描必須很小心，這樣它才能夠找到您 Web 應用程式中的所有 URL，並測試其中是否有漏洞。
    - JavaScript™ 原始碼分析如何運作
      「JavaScript™ 安全分析器 (JSA)」執行靜態 JavaScript 原始碼分析，以偵測一系列用戶端問題，主要是 DOM 型跨網站 Scripting。JSA 會分析 AppScan® Enterprise 在「探索」階段期間所收集的 HTML 頁面。JSA 會在「測試」階段進行的同時執行，也可以隨時在現有的「探索」結果上手動啟動。
    - 以進階配置選項使掃描最佳化
      請利用這項作業，以複式配置來配置進階掃描。如果 Web 應用程式需要與使用者頻繁互動才能導覽應用程式，或者您只想測試應用程式的特定區域，請使用此方法。
    - 擷取及匯入資料流量資料
    - 從 AppScan Standard 匯入動作型登入檔案
      AppScan Standard 中的動作型登入功能會在瀏覽器中產生使用者的實際動作，而不只是要求，並在瀏覽器中重播該序列。您可以在 AppScan Standard 中建立動作型登入並將它匯入 AppScan Enterprise 來運用這項功能，以協助避免在掃描期間發生離開階段作業事件。
    - 從 AppScan® Standard 匯入手動探索資料
      您可以將從 AppScan® Standard 7.x 版（以及更新版本）匯出的資料，匯入到 AppScan Enterprise。匯入這項資料可以節省時間，縮減重複的工作成本。只會匯入來自 AppScan.exd 檔的 URL（參數及網域）和 HTTP 要求。
    - 匯入 AppScan® 資料，供報告使用
      匯入工作從資料檔取得結果，再將它整合到 AppScan® Enterprise Server 資料庫中。匯入的資料可用來建立報告和儀表板。另外，還可以與內容掃描工作的資料結合起來，建立您完整的問題圖像。
- 利用報告進行分類
  執行工作之後會自動產生報告。這些報告提供管理問題的方法，可協助您管理組織的重要問題，並且以 Enterprise Console 的工作流程及組織內其他程序的工作流程都支援的方式來執行這項作業。
- 配置管理程式

JavaScript™ 原始碼分析如何運作

「JavaScript™ 安全分析器 (JSA)」執行靜態 JavaScript™ 原始碼分析，以偵測一系列用戶端問題，主要是 DOM 型跨網站 Scripting。JSA 會分析 AppScan® Enterprise 在「探索」階段期間所收集的 HTML 頁面。JSA 會在「測試」階段進行的同時執行，也可以隨時在現有的「探索」結果上手動啟動。

JSA 探索到的問題包括顯示有漏洞原始碼的來源層次追蹤資訊。您可以在問題的「關於此問題」報告的「程式碼 Snippet」標籤中檢視追蹤資訊。程式碼中的強調顯示行和編號行逐步顯示（從來源到目標）進入應用程式的未受信任資料如何延伸，直到以不安全的方式被使用。

如何運作

JSA 使用 IBM 的進階「字串分析」技術來刪除誤判，並更精確地分類問題。JSA 套用兩個階段以分析每個頁面：污染（或資料流程）分析和字串分析。第一階段，JSA 會尋找從來源至接收槽未行經消毒器的追蹤。如果找到，JSA 會在第二個步驟中，使用「字串字首分析 (SPA)」（「字串分析」的變式）來驗證它。

在來源是 URL 或 URL 一部分的情況下，只有當攻擊者可以在接收槽端控制 URL 的主機和路徑部分時，追蹤才會被不當運用。SPA 會追蹤操作來源 URL 的字串作業，來驗證這些情況。SPA 假設 URL 的主機和路徑未受攻擊者所控制，而假設查詢及/或錨點部分受攻擊者所控制：

在接收槽這端，SPA 會檢查 URL 的主機和路徑部分是否可能受攻擊者控制。如果判定主機和路徑部分兩者皆已修正，並且未受攻擊者控制，就不會發生問題。如果重新導向目標以字首 javascript: 或 mailto: 開頭，則會將問題更精確地分類為「DOM 型跨網站 Scripting」或「DOM 型電子郵件盜用」。

註：您可以在安全問題報告中檢視 JSA 漏洞。請按一下報告中的關於此問題鏈結，以查看強調顯示程式碼中漏洞位置的程式碼 Snippet。