手動探索網站,在掃描中新增其他 URL

「手動探索」意指您將在配置中指出掃描要測試的確切 URL(掃描不會自動搜索來發現新的 URL)。如果 Web 應用程式需要與使用者頻繁互動才能導覽應用程式,或者您只想測試應用程式的特定區域,請使用此方法。

開始之前

Get ready:
  1. 確定 Internet Explorer 的「網際網路進階選項」已設成使用 HTTP 1.1,之後,再執行手動探索。
  2. 如果您以手動方式探索您本端機器上的應用程式,您必須確定手動探索瀏覽器中所用的主機名稱,不是用來存取 Enterprise Console 的主機名稱。否則,掃描可能無法存取 URL。比方說,如果您利用 https://server1/ase 來存取 Enterprise Console,以手動方式探索時,請使用 https://server1.domain.com/ase

執行這項作業的原因和時機

如果您符合下列條件,請手動探索您的網站:

  • 不知道將頁面新增到「起始 URL」清單的確切 URL。
  • 想要新增因掃描遺漏它們而未自動探索的頁面(例如,非標準 js 回傳為鏈結、內嵌 js 或 Flash 鏈結)。
  • 想要新增因其他原因而未自動探索的頁面(例如,孤立頁面)。
「手動探索」也可以與您網站的自動搜索合併使用。在此情況下, 掃描會測試您手動造訪的所有頁面,以及 AppScan Enterprise 自動發現的那些頁面。依預設, AppScan Enterprise 包含自動探索,但是您可以使用下列其中一種方法來關閉它:
  • 若為掃描視圖中的內容掃描工作,請移至探索選項頁面。在掃描限制區段中, 選取指定的 URL 限制(「起始 URL」、「手動探索」和「已記錄的登入」內容中指定的 URL。無蒐集)
  • 若為以 *.scant 範本為基礎的掃描,請移至 AppScan Dynamic Analysis Client 中的工作內容頁面。在掃描區段中,選取僅測試
有時您可能只想測試少許頁面; 例如,如果目前正在開發頁面,或者頁面含有如今已修正的問題。使用「手動探索」與上述其中一個選項, 來執行隔離的小型掃描。在其他某些情況下,您或許想掃描整個網站。您可以結合「手動探索」與「自動探索」選項, 以確保所有頁面都會造訪而完全涵蓋。在那樣的情況下,請改用預設選項。
注意: 在您的掃描配置中不要使用任何私密資訊,因為第三方可能會檢視這些資料。如果要繼續瀏覽器記錄,請確定您已登出任何現有的階段作業。請在手動探索期間使用測試使用者帳戶,以防止使用者名稱和密碼在 Enterprise Console 介面中以明碼顯示。

程序

  1. 在工作的「掃描項目」頁面的「手動探索」區段中,按一下新增圖示(新增)。
  2. 在「手動探索」頁面上,選取使用 Manual Explorer 工具或 AppScan Standard 探索資料檔
  3. 下載並安裝工具。
    註:
    • 管理 Manual Explorer 工具的機器也必須已啟用 FIPS,該工具才能適當地運作。
    • 如果您使用 Microsoft Windows 2008 Server(含或不含 R2),在嘗試安裝此工具時您可能會看到此錯誤訊息:「系統管理員已將原則設定為防止進行這項安裝」。在伺服器上所設定的群組原則不容許一般使用者執行安裝。請讓您的系統管理者變更群組原則或是為您安裝工具。
  4. 如果要啟動 Manual Explorer,請移至開始功能表 > HCL AppScan Manual Explorer 或桌面圖示。
  5. 按一下檔案 > 喜好設定,然後配置記錄工具設定:
    • 瀏覽器
      註:
      1. Internet Explorer/Google Chrome:如果在您錄製之前有任何瀏覽器實例在執行中,請關閉它們,包括 AppScan® Enterprise 在其中執行的實例。當您完成錄製時,可以重新開啟瀏覽器。
      2. Mozilla Firefox:
        • 如果 AppScan® Enterprise 是使用系統 Proxy,且您嘗試使用 Internet Explorer 或 Google Chrome 來進行記錄,請關閉 Firefox 瀏覽器、執行記錄,然後重新開啟 Firefox 瀏覽器。
        • 如果您是第一次利用 Firefox 來使用 Manual Explorer 錄製資料流量資料,請確定所有開啟的 Firefox 瀏覽器實例都已關閉。
    • 憑證連線無效
    • 偏好的 Proxy 埠。在錄製期間,如果這個埠在使用中,則會改用另一個埠,並將在這裡指出。
    • 追蹤日誌層次
  6. AppScan® Manual Explorer 工具上按一下記錄,然後導覽您的應用程式。
    註: 如果您瀏覽 https:// 網站,可能會出現關於憑證無效的錯誤。這是 Manual Explorer 工具上(而不是網站上)的無效憑證;請接受該憑證。
  7. 當您完成瀏覽網站時,請儲存檔案,然後關閉 Manual Explorer 工具。
  8. 在內容掃描工作的「手動探索」頁面中匯入 *.htd 檔、關閉視窗,然後按一下儲存以新增 URL 至掃描。
  9. 在「手動探索到的 URL」頁面中,檢閱探索到的 URL 清單。
  10. 手動探索的 URL 清單中,選取您想移除的 URL,然後按一下移除
  11. 手動探索的其他網域清單中,選取您想移除的網域,按一下移除;然後按一下儲存
    註: 如果編輯尚未完成,您不小心按下儲存,您仍可以在「掃描項目」頁面中進行編輯。
  12. 手動探索到的自動表單填入欄位頁面中,檢閱手動探索期間探索到的「自動表單填入欄位」,移除您不想包含在掃描中的任何欄位,並且按一下儲存
  13. (選用)如果您希望掃描依照順序來測試 URL,請選取「掃描項目」頁面之手動探索區段中的勾選框。如果必須依照特定順序(多步驟式作業)來傳送要求,才能呼叫到 Web 應用程式的某些部分,請選取這個選項。掃描會先依照錄製的順序來播放 URL,再傳送測試。
    註:

    Web 應用程式中的某些部分,例如購物車或申請銀行帳號等,只能藉由在特定訂單中傳送要求才能抵達。您可以將掃描配置成逐一播放這些 URL。在這個範例中,使用者會在線上購物車應用程式中,進行線上購物並造訪三個頁面:

    • 頁面 A:新增一或多個項目到購物車中。
    • 頁面 B:填寫付款和出貨詳細資料。
    • 頁面 C:接收訂單已完成的確認。

    只有從頁面 A,才能到達頁面 B。只有從頁面 A,再經過頁面 B,才能到達頁面 C。在手動探索期間,您錄製了單一序列:「頁面 A 頁面 B 頁面 C」。如果要測試頁面 C,掃描必須在每次測試之前,傳送正確的 HTTP 要求序列。當測試頁面 B 時,掃描會先傳送頁面 A 的要求;當測試頁面 C 時,會傳送頁面 A 的要求,後面接著頁面 B 的要求。

    1. 掃描傳送 A,對 B 執行測試 1
    2. 掃描傳送 A,對 B 執行測試 2
    3. 掃描傳送 A、B,對 C 執行測試 1
    4. 掃描傳送 A、B,對 C 執行測試 2
    由於多步驟作業的本質,掃描效能可能會變慢,因為多步驟要求是以單一執行緒模式來傳送。

結果

您從手動探索新增的 URL 會新增到 Additional URLs 清單中,且會依照「起始 URL」清單的相同方式來處理。您從手動探索新增的網域,會新增到 Additional Domains 清單中。

下一步

新增其他伺服器和網域至掃描中