常见问题与解答
此主题处理常规应用程序问题。
可以使用哪些不同方法来扫描 Web 服务?
扫描站点的过程是:首先探索站点,然后根据收集的数据来测试站点。可以通过一种或多种不同探索方法来收集“探索数据”。在所有情况下,一旦收集了探索数据,在测试阶段中个,AppScan 都将用于创建测试以及向站点发送测试。
- 探索 Web 应用程序(带有用户界面的站点)
- 如果是没有 Web Service 的应用程序(站点),那么为 AppScan 提供起始 URL 和登录认证凭证通常足以使其能够测试站点。
- 手动探索:如果需要,您可以通过 AppScan 来手动探索站点,以便能够访问仅通过特定用户输入才能访问的区域。
- 多步骤操作:对于只有通过特定顺序访问页面才能访问的页面,您可以记录多步骤操作以供 AppScan 使用。
- 探索 Web Service
- 有三种方法可以执行此操作,建议使用第一种方法。
- 可以将 AppScan 设置为用于探索服务的设备(例如移动电话或模拟器)的记录代理。这样,AppScan 就可以分析所收集到的“探索”数据,并发送相应的测试。还可以使用 AppScan 记录使用外部工具(如 Web Service 功能测试仪)的流量。请参阅 将 AppScan 用作记录代理。
- 如果 Web Service 具有 Open API 描述文件(JSON 或 YAML),则可以使用 Web Service 向导扩展来配置扫描,以及使用该服务所需的多步骤序列。然后,AppScan 将自动扫描服务。
- 如果您无法使用前两种方法,并且具有用于 Web Service(例如 SOAP Web Service)的 WSDL 文件,那么 AppScan 安装可以有选择地包含单独的工具 ,此工具使用户能够查看已合并到该 Web Service 中的各种方法,对输入数据进行控制,以及检查来自该服务的反馈。您首先需要为 AppScan 提供服务的 URL。集成的“通用服务客户机 (GSC)”使用 WSDL 文件以树格式显示可用的单独方法,并且会创建用户友好的 GUI 来向服务发送请求。您可以使用此界面输入参数和查看结果。此过程由 AppScan 进行“记录”,并且用于在 AppScan 扫描站点时创建针对服务的测试。GSC 也可用作 REST 请求的客户机,而无需解析 WSDL 文件,作为简单的 HTTP 客户机。请参阅 使用 GSC。
- 外部客户机或设备
- 在上述两种情况下,如果您需要使用外部设备(如移动电话)来探索站点,则可以将 AppScan 设置为代理,以跟踪您的操作,然后基于数据测试站点。
手动探索与多步骤操作之间有什么区别?
- 手动探索
-
进行手动探索时,您探索站点以收集 AppScan 可使用的数据,从而确保当它测试站点时,将覆盖可能已在其自动“探索”阶段遗漏的应用程序或服务部分。此遗漏可能是因为需要特定用户输入,或者因为站点仅对其他类型的工具或设备做出响应。您可以通过使用 AppScan,将其用作记录代理,或使用通用服务客户机 (GSC) 来进行手动探索。
请参阅 手动探索。
- 多步骤操作
-
需要执行一个多步骤操作来探索站点中只有通过按特定顺序单击才能访问的部分(比如,在线商店,用户需首先将商品添加到购物车才能付款)。请考虑以下三个页面:
- 用户将一个或多个商品添加到购物车
- 用户填写付款和送货详细信息
- 用户收到订单完成的确认
请参阅 “多步骤操作”视图。
基于操作的回放与基于请求的回放之间有什么区别?
当记录了某个过程以用作登录或多步骤操作时,可以采用两种可能的回放方法:
- 基于请求的回放
- 从记录发送原始 HTTP 请求。这种方法通常更快。
- 基于操作的回放
- 重放用户的单击和击键。选择此方法的原因可能是站点包含大量 JavaScript,或者是因为在您尝试验证基于请求的回放中的某些请求时,这些请求被标记为红色 X。此方法可能会增加扫描时间。
请参阅“配置 > 探索 > “复审并验证”选项卡”和“配置 >” “多步骤操作”视图