使用 AppScan Enterprise 中的掃描內容來配置安全掃描

安全掃描應該在暫置伺服器或「品質保證」伺服器之類的前置生產環境中執行。這麼做可協助您納入與執行安全掃描相關聯的風險。您的前置正式作業環境應該儘可能鏡映正式作業環境;在這兩個環境中,應用程式應該有相同的執行檔,您才能確知顯現的應用程式正在進行全面的測試。另外,安全掃描也應該整合在「軟體開發生命週期 (SDLC)」程序中,以便在安全問題進入正式作業環境之前就能擷取。

ASE 工作流程掃描按一下這個區域,以取得建立應用程式庫存的相關資訊判定風險按一下這個區域,以取得分類問題的相關資訊按一下這個區域,以取得評估商業風險的相關資訊

開始之前

  1. 請確定應用程式處於開發或測試環境。
  2. 建立一個帶有應用程式擁有者(開發人員或 QA)的時間範圍,以便在掃描應用程式時採用。在您使用 AppScan® Enterprise Server 掃描應用程式期間,該應用程式必須已啟動且正在執行,而且狀態穩定。掃描期間,不應對應用程式進行任何的變更。
  3. 必須先決定您要執行「手動探索」或自動搜索:
    • 「手動探索」意指您將在配置中指出掃描要測試的確切 URL(掃描不會自動搜索來發現新的 URL)。如果 Web 應用程式需要與使用者頻繁互動才能導覽應用程式,或者您只想測試應用程式的特定區域,請使用此方法。
    • 自動搜索意指您要將掃描配置成自動探索更多的 URL,以便在 Web 應用程式中進行測試。這個方法用於應用程式有很多靜態鏈結,並且不需與使用者頻繁互動。

程序

  1. 在「掃描項目」頁面中,輸入應用程式的起始 URL,並且按一下新增。在您新增起始 URL 時,請注意「狀態」直欄。如果出現綠色勾號,表示 AppScan® Enterprise Server 能夠存取 Web 應用程式。如果您看到的是「警告」,可能表示您需要輸入 Proxy 設定或其他鑑別,AppScan® Enterprise Server 才能存取 Web 應用程式。請按一下重新測試
  2. 如果 Web 應用程式需要特定的 Proxy 設定或其他鑑別,請移至工作內容中的「連線」頁面,選取 Proxy > 使用自訂 Proxy 設定,然後輸入 Proxy 設定。
  3. 如果 Web 應用程式需要其他的「平台鑑別」,請在「平台鑑別」區段中選取掃描需要鑑別的頁面,然後輸入使用者名稱與密碼或選取服務帳戶選項。
  4. 如果您的 Web 應用程式包含 HTML 登入,請移至「登入管理」頁面來錄製登入。按一下已記錄 > 記錄登入
    1. Web 應用程式將在錄製瀏覽器中啟動。請模擬登入,並且關閉瀏覽器視窗。
    2. 錄製登入並關閉蹦現視窗之後,您在登入期間所發現的 URL 都會列在「登入序列 URL」頁面中。按一下儲存,來儲存序列。URL 應會列在「登入管理」頁面。
    3. 從清單中選取 URL,並且按一下「檢視 HTTP 要求」(檢視 HTTP 要求)圖示。
      註: 您將看到針對該 URL 所錄製的完整 HTTP 要求。請尋找「HTTP 要求」中所傳送的 Cookie。'Cookie' 行中會識別這些 Cookie。為了在掃描期間順利完成安全測試,必須識別 Web 應用程式所用的所有階段作業 Cookie。在所錄製的登入 HTTP 要求中查看此行,即可知道 Web 應用程式的階段作業 Cookie 名稱。此行中的所有 Cookie 未必都是階段作業 Cookie。有時您可能需要向 Web 應用程式的開發人員查詢。階段作業 Cookie 通常含有 'session' 或 'id',但在某些情況卻不包含。依預設,AppScan® Enterprise 會自動識別許多階段作業 Cookie 名稱。
  5. 如果您已識別出 AppScan® Enterprise 所遺漏的任何階段作業 Cookie 名稱,則必須在掃描中配置這些階段作業 Cookie 名稱。有兩種方式可以新增 AppScan® Enterprise 所遺漏的 Cookie。請移至「參數與 Cookie」頁面:
    1. 選取您想要追蹤的 Cookie 或參數,然後按一下「編輯參數與 Cookie」頁面上的「追蹤」按鈕。
    2. 按一下新增 圖示)。選取 'Cookie' 作為類型。您可以輸入完整名稱,或輸入正規表示式來作為名稱。選取階段作業 ID:掃描期間追蹤這個參數AppScan® 在掃描期間,Enterprise Server 會追蹤這個階段作業 Cookie,並在必要時更新這個值。按一下完成
  6. 如果您有其他任何需要填寫以配置掃描的表單,請移至「掃描項目」頁面。在「手動探索」區段中,按一下新增現有的項目新增現有的項目),來啟動「手動探索」。如果您只想將掃描限制在「手動探索」範圍,也可以使用「手動探索」來手動選取 URL。Web 應用程式會在另一個瀏覽器視窗中啟動。請在這個視窗中模擬任何的手動導覽或表單填寫;然後關閉視窗,並且儲存您的表單結果。
    註: 您可以利用「手動探索」來:
    • 錄製 AppScan® Enterprise Server 自動搜索器不會完成的其他任何功能;例如,表單填寫或使用者互動
    • 限制只掃描您已錄製的這些 URL 和功能,而不讓 AppScan® Enterprise Server 執行自動搜索
  7. 在「掃描項目」頁面中,往下捲動到「其他伺服器與網域」清單。檢閱這份清單,如果其中含有您在掃描期間不想讓自動搜索器探索的任何網域,請將它們移除。
    註: 如果有網域未併入您測試原則的相關「伺服器群組」中,則不會測試這些網域。請在「安全」頁面中,按一下顯示測試原則詳細資料,查看適用於所選測試原則的伺服器群組及 URL 或 IP 位址。除了在基於這個工作的任何報告中都沒有結果的網域之外,關於不測試未獲授權的 URL,不會有任何指示。請確定您的起始 URL 包括在您選擇的測試原則的相關伺服器群組中。
  8. 在「安全」頁面中,輸入您的安全測試選項:
    • 如果您想要執行靜態 JavaScript 分析以偵測各種用戶端問題,主要是 DOM 型跨網站 Scripting,請維持選取 JavaScript 分析器勾選框。請參閱JavaScript 原始碼分析如何運作
    • 如果您正在掃描會在使用者嘗試登入失敗多次之後封鎖使用者的 Web 應用程式,請清除包含登入和登出頁面的測試勾選框。如此可避免在掃描期間封鎖 AppScan® Enterprise Server。
    • 選取一項「安全測試原則」。
      註: 您只能根據「產品管理者」指派給您的測試原則來選擇測試。如果您未建立這個工作,這個工作就只能執行建立它的「工作管理者」的相關測試。不過,您可以藉由取得工作的所有權(工作的「工作內容」頁面),來變更您可以使用的測試原則及它所能執行的測試。
  9. 移至「探索選項」頁面:
    1. 如果您希望掃描執行自動掃描,並且尋找其他 URL,請選取不套用頁面限制
    2. 如果您希望掃描只探索並測試您所記錄的登入與手動探索,請選取指定的 URL 限制
    3. 如果您正在執行自動搜索,且您的 Web 應用程式使用 JavaScript 來動態建置 URL,請選取執行 JavaScript 來探索 URL 及動態內容
  10. 按一下儲存,儲存您的選項,並且結束工作內容。