Web 應用程式和 Web 服務

這個主題說明在 AppScan 測試網站之前,可用來探索網站的不同方法。

掃描網站時會先探索,然後根據所收集的資料加以測試。可以使用一或多種不同的「探索」方法來收集「探索資料」。無論如何,收集「探索」資料之後,就會在「測試」階段期間使用 AppScan 來建立及傳送測試給網站。
探索 Web 應用程式(具有使用者介面的網站)
  • 如果是不含 Web 服務的應用程式(網站),通常只要提供起始 URL 及登入鑑別認證給 AppScan,就足以測試網站。
  • 手動探索:必要的話,您可以透過 AppScan 手動探索網站,以便能夠存取只有透過特定的使用者輸入才能到達的區域。
  • 多步驟作業:對於只能透過以特定順序存取頁面才能到達的頁面,您可以記錄多步驟作業供 AppScan 使用。
「配置精靈」可讓您以少數幾個步驟配置及啟動您的掃描,而針對複雜的網站,「配置」對話框可讓您細部調整及自訂更多的設定。
探索 Web 服務
有三個方法可用來完成這個操作,建議使用第一個方法。
  1. 您可以設定 AppScan 作為用來探索服務之裝置(如:行動電話或模擬器)的記錄 Proxy。如此一來,AppScan 就可以分析所收集的「探索」資料,並傳送適當的測試。您也可以使用 AppScan 來記錄使用外部工具的資料流量,例如 Web 服務功能測試程式。請參閱使用 AppScan 作為記錄 Proxy
  2. 如果您針對 Web 服務具有 Open API 說明檔(JSON 或 YAML),您可以使用 Web 服務精靈延伸來配置掃描,以及使用服務所需的多步驟序列。之後,AppScan 會自動掃描服務。
  3. 如果您無法使用前兩個方法,且有 Web 服務(如:SOAP Web 服務)的 WSDL 檔,AppScan 安裝架構可選擇性地包括另一個工具,讓使用者可以檢視在 Web 服務中納入的各種方法、操作輸入資料,以及檢查從服務傳回的意見。您必須先將服務的 URL 提供給 AppScan。所整合的「通用服務用戶端 (GSC)」會使用 WSDL 檔,以樹狀結構格式顯示個別可用的方法,並建立對使用者友善的 GUI 來傳送要求給服務。您可以利用這個介面來輸入參數以及檢視結果。當 AppScan 掃描網站時,AppScan 會將程序「記錄」下來,用來建立服務的測試。GSC 也可以用來作為 REST 要求的用戶端,不需要剖析 WSDL 檔案,僅作為簡單的 HTTP 用戶端。請參閱使用 GSC
外部用戶端或裝置
在上述兩種情況中,如果您需要使用外部裝置(例如行動電話)來探索網站,您可以設定 AppScan 為 Proxy 以遵循您的動作,然後根據資料來測試網站。