掃描現用正式作業環境

在以 AppScan 掃描現用網站之前,應考量下列風險及建議。

掃描現用網站時,您可以使用預先定義的「正式作業網站」範本。這個範本包括特別選取的「正式作業網站」測試原則,以及設計來將損壞現用網站或導致實際使用者發生「阻斷服務」的風險降至最低的配置設定。

如果您選擇使用自己的配置或測試原則,以下各節可協助您有效地配置掃描。

資料庫可能充滿掃描期間傳送的人工資訊

您可以採取下列預防措施來減少這方面的影響:

  • 停用「自動表單填入」(掃描配置 > 自動表單填入 > 第一個勾選框)。

    這可確保 AppScan® 不會自動填寫表單而提交可能會塞爆資料庫、公佈欄或線上討論區系統的資料,也不會將不想要的電子郵件傳至管理員或控管者的帳戶。不過,您應該知道,這麼做將限制 AppScan Standard 到達網站區域(藉由提交表單來存取)的能力。在這個作業模式中,AppScan 只會掃描遵循鏈結(包含或不含參數)所能存取的網站區域。

  • 建立測試帳戶供 AppScan 使用。

    使用測試帳戶可使資料庫變更的追蹤更加容易(例如,確保不會實際訂購服務),以及協助網站管理者在掃描之後清除網站。

    建立帳戶時,請考量下列建議:
    • 限制從資料庫中只能存取測試記錄,以便還原修改過的記錄。
    • 確定將會刪除測試帳戶所建立的新記錄。
    • 確定將會忽略測試帳戶的採購單(或其他交易)。
    • 如果交易具有影響力(例如處理股票時),請只允許帳戶存取測試記錄。
    • 如果網站有討論區,請只允許測試帳戶存取測試討論區,這樣一來真正的客戶才不會看到測試階段期間所建立的測試。
    • 如果網站會針對不同的帳戶提供不同的專用權,請設定多個測試帳戶,賦予不同的專用權。這可確保能夠進行更全面的網站掃描。
    • 請勿建立具有管理者層級存取權的測試帳戶。

電子郵件氾濫的風險

當測試使用電子郵件通知的頁面時,AppScan 會產生許多要求,且可能使網站的電子郵件伺服器超載。

下列一或多個建議可協助處理這項問題:

  • 暫時變更所測試頁面上的電子郵件位址,以使電子郵件傳送到無效的電子郵件位址。
  • 如果實際可行,請配置 AppScan,以從正式作業掃描中排除這些頁面。
  • 一次只掃描一部 Web 伺服器,以防止它在掃描期間連接至 SMTP 伺服器。
  • 如果您決定讓「自動表單填入」保持啟用,請將它配置成在電子郵件欄位中插入唯一值,以便收件者能夠輕易識別 AppScan 產生的電子郵件。

透過 Proxy 進行掃描

可能的話,請避免透過 Proxy 進行掃描。雖然支援這項作業,但 Proxy 有時會遮蔽結果。

掃描遭到應用程式鎖定的風險

部分應用程式配置成在一定次數的不正確登入嘗試後鎖定使用者。如果掃描期間發生此問題,很明顯地,AppScan 將無法完成掃描。

如果要避免這個問題,請執行下列動作:

  • 停用傳送對登入和登出頁面的測試(掃描配置 > 測試選項)。

導致應用程式失敗的風險

為了避免 AppScan 導致您現用應用程式失敗的風險,您可能會想要取消啟動測試原則中的侵入性測試。這可確保不會傳送「阻斷服務」、「緩衝區溢位」,或可能導致應用程式或 Web 伺服器失敗的其他測試。

重要: Web 應用程式通常含有侵入性測試才能發現的漏洞。不建議您完全省略侵入性測試。請改為協調網站擁有者或管理者,來測試應用程式是否有這些類型的漏洞,或許排定在應用程式可能閒置時的離峰期間進行掃描。

如果要在現行測試原則中停用侵入性測試,請執行下列動作:

  1. 開啟配置 > 測試原則
  2. 按一下侵入性直欄,將所有侵入性測試分成一組。
  3. 向下捲動侵入性測試(「侵入性」值為 "Yes" 的測試),並取消選取目前所選取的任何項目,以從掃描中排除它們。