使用 AppScan Enterprise 的掃描內容來建立 QuickScan 範本

QuickScan 範本包含一個內容掃描工作或是匯入工作,再加上報告套件。在「資料夾」清單裡的「範本」資料夾中建立好掃描範本之後,它們會自動成為備妥的掃描範本,可供 QuickScan 使用者取用,也可供在「顯示資料夾瀏覽器」清單中開啟了 QuickScan 視圖的更進階使用者取用。當 QuickScan 使用者建立一項掃描時,系統會依據範本建立工作和報告套件,但只在針對該 QuickScan 使用者時,才會顯示為一項掃描。

執行這項作業的原因和時機

在 9.0.1.1 版及更舊版本中,安全團隊根據 AppScan Enterprise 工作選項,為開發人員建立了 QuickScan 範本。雖然此方法容許分析師自訂各個開發人員的 QuickScan 範本,但它通常導致組織中的掃描配置和結果不一致。這是因為有些開發人員可以存取的掃描配置選項比其他人更多。

您可以為開發人員建立掃描模板,以建立一致的掃描配置和結果。此方法為通常沒有太多安全知識的開發人員改善配置體驗,並啟用動作型登入和手動探索。請參閱使用 AppScan Standard 的掃描內容來建立 QuickScan 範本

程序

  1. 移至「資料夾」清單中的範本資料夾,然後在主要內容窗格中,按一下建立圖示(建立)。
    註: 您可以在「範本」資料夾中建立子資料夾,並且對每一個子資料夾指派特定的使用者角色,即可限制特定使用者群組可以使用的範本。
    • 產品管理者 - 可以建立/編輯/刪除範本
    • 報告消費者/問題管理者 - 可以使用範本
    • 報告管理者 - 可以編輯範本中的報告套件
    • 工作管理者 - 可以建立/編輯/刪除範本
    • QuickScan 使用者 - 只能使用他們可存取的範本
    • 無存取權 - 完全無法存取
  2. 在「建立資料夾項目」頁面上,選取範本要建立的工作類型:內容掃描工作或匯入工作。
  3. 輸入範本的名稱說明名稱要儘可能有意義。例如,如果您要建立手動探索掃描,您可以將範本命名為手動探索掃描
  4. 選擇報告套件的產生方式。依預設,會選取自動建立報告套件勾選框。建立的報告套件會與工作同名,另外,也會自動建立一組基於工作內容的預設報告。
  5. 選擇建立方法
    • 利用預設內容來建立含有內建設定的工作。
    • 如果您探索過類似的工作,想要以它為新工作的基礎,便使用設定檔案。匯出工作的內容,便會建立設定檔案
  6. 按一下建立來建立工作。這時會開啟掃描範本的第一個內容頁面,供您繼續配置它的內容。
  7. 在「登入管理」頁面中,選擇您要 QuickScan 使用者搭配這個範本使用的方法。
    註:
    • 已記錄:記錄登入序列以供掃描使用。掃描會自動執行登入,然後 QuickScan 使用者便可以接著執行手動探索。
    • 自動。請配置用來識別使用者名稱和密碼欄位的正規表示式。QuickScan 探索性會利用這些表示式來識別登入頁面;QuickScan 使用者將無法在這個範本中使用他們自己的使用者名稱或密碼。如果要併入「自動登入」控制項,在「登入管理」頁面中選取的登入方法必須是Automatic LoginNone
    • :QuickScan 使用者將在掃描設定期間配置登入管理。
  8. 繼續配置掃描的內容。完成之後,請按一下範本配置
  9. 在「範本配置」頁面上,選取要加入範本的「QuickScan 控制項」。
    註: 如果開啟階段作業內偵測,就必須將「階段作業內偵測」控制項併入範本中,以便 QuickScan 使用者在必要之時編輯階段作業內型樣。
  10. 選擇掃描要用的探索方法類型:起始 URL手動探索Web 服務探索
    註: 使用者無法使用「起始 URL」選項來手動探索應用程式。「手動探索」選項提供最廣泛的 URL 探索範圍。
  11. 藉由容許 QuickScan 使用者存取進階掃描配置頁面,您可以對進階使用者提供較多的彈性,而對新手使用者加以限制。
    註: 他們可以修改的一些掃描選項受到限制。如需詳細資料,請參閱QuickScan 使用者
  12. 按一下儲存
    註: 如果您將範本重新命名,對應的報告套件也會自動重新命名。