進階配置視圖

掃描配置對話框的進階標籤標籤是用來變更對特定掃描造成影響的進階登錄設定(掃描配置 > 進階配置標籤),它應僅供有經驗的 AppScan 使用者使用,或在支援團隊的指示下用來進行問題的疑難排解。

提示: 影響AppScan 一般(而不是特定掃描)的進階登錄設定不位於這裡,而是在選項對話框的進階標籤中(工具 > 選項 > 進階標籤)。
註: 每一項設定都有一個 ID,您可以在與支援團隊討論設定時使用。網格中的項目可以依名稱或 ID 排序,方法為按一下相關的直欄標題。
註: 當預設值是正規表示式時,如果完全刪除它,會將設定視為未定義(且不會視為包含任何項目的正規表示式)。

名稱

說明

可能的使用案例

動作型:

登入播放瀏覽器

記錄登入序列時,一律會使用內嵌的 AppScan 瀏覽器來進行動作型記錄。不過,您可以配置 AppScan 在掃描期間播放記錄時使用的瀏覽器。選項如下:
  • 0 = Internet Explorer(內嵌版本)
  • 1 = Chromium
  • 2 = Chrome
  • 3 = Firefox

預設值:0

「測試階段」期間允許的瀏覽器實例數目

設定掃描的「測試」階段期間,可以使用多少個瀏覽器實例。

預設值 = 5

如果您的網站密集地使用用戶端 JavaScript 程式碼,並且在掃描期間造成 AppScan 凍結,請減少此數目。

記憶體耗用限制

如果 AppScan 記憶體用量達到此臨界值,AppScan 會藉由限制執行緒的數目,嘗試減少資源用量。

預設值 = 1000 MB

多步驟播放瀏覽器

記錄多步驟序列時,一律會使用內嵌的 AppScan 瀏覽器來進行動作型記錄。不過,您可以配置 AppScan 在掃描期間播放記錄時使用的瀏覽器。選項如下:
  • 1 = Chromium
  • 2 = Chrome
  • 3 = Firefox

預設值:1

多重步驟播放無互動逾時值

停止播放多步驟作業的非互動逾時值(以秒為單位)。

預設值:10

單一登入嘗試的逾時值

在強制瀏覽器關閉之前,AppScan 等待瀏覽器重播單一動作型登入嘗試的時間(以秒為單位)。

預設值:120

通訊:

Accept-Language 要求標頭值

在所有 HTTP 要求中傳送給「Accept-Language 標頭」的字串。

如果使用者沒有定義此項,AppScan 會在這項掃描中,使用瀏覽器第一次所傳送的值,該瀏覽器指的是當初使用者為了記錄登入程序或多步驟式作業,或檢視頁面,而開啟的瀏覽器。

附註:如果您變更預設瀏覽器,請參閱以下所列出的條件: 變更預設瀏覽器

預設值:zh-tw

在「探索」階段期間,AppScan 可能會因為 Internet Explorer 標頭值而收到非預期的回應。在這種情況下,您應該檢查與網站互動時,Accept-Language 標頭中應使用的值,並在這項設定(或 Internet Explorer)中定義它。

自訂標頭

可讓您定義自訂標頭,以新增至 AppScan 傳送給網站的所有要求。

預設值:清空

如果您的網站預期特定的標頭內容(例如,因為存取網站是透過特定的用戶端或瀏覽器外掛程式),請在這裡定義標頭。每一個標頭的前面都必須附加一個定界字元。標頭和值之間必須有一個冒號和一個空格。

格式:delimiter|header|colon-and-single-space|value

範例 1:
;Header: Value
(在本例中,定界字元是 ;
範例 2:
,Header1: Value1,Header2: Value2
(在本例中,定界字元是 ,

強制傳送不含參數的 HTTP 要求給每一個表單動作

在某些情況下,當收到不含參數的表單提交時,伺服器端邏輯可能會以不同方式運作。

若設為 True,AppScan 會將不含參數的其他要求傳送給每一個表單。這可能導致傳回自訂錯誤頁面,其中含有前往其他網頁和功能的鏈結。

預設值:True

在檢視掃描期間的傳輸時,如果您發現不含參數的表單提交造成應用程式逾時或當掉時,您可以決定將此選項設為 False。

GSC SSL 埠

這個設定定義 GSC 使用於 SSL 通訊的埠號。

預設值:443

如果是透過 GSC Explore 提供的鏈結,AppScan 會根據這個埠號來識別 HTTPS。如果您的應用程式使用不同的埠來進行 SSL 通訊,請在此定義。如果未定義正確的 SSL 埠,AppScan® 將以 HTTP 來傳送所有的測試。

所有要求中都包含 AppScan 除錯標頭

當設為 True 時,會在 AppScan 傳送給網站的所有要求中新增 HTTP 標頭。標頭名稱是 "X-AppScan-Debug",其值含有 AppScan 為何傳送這個特定要求的其他資訊(探索、測試、登入播放、伺服器關閉檢查等)。

預設值:False

當您在 Web 除錯器、Proxy、分析器和錯誤偵測器之類的外部工具中追蹤 AppScan 資料流量時,將掃描配置成傳送 "X-AppScan-Debug" 標頭會很有幫助。

附註:某些網站可能拒絕包含這類特殊標頭的任何要求。

回應長度上限

AppScan 會截斷冗長的回應,以避免記憶體耗用問題。這項設定定義允許的回應長度上限(以 MB 為單位)。過長的回應會視為錯誤。

預設值:8

如果 AppScan 似乎遺漏鏈結或登出階段作業,且已知應用程式會傳送冗長回應,則增加回應長度上限可以解決此問題。

移除 'Accept-Encoding' 標頭

AppScan 不支援所有的編碼,因此會移除不支援的編碼。如果啟用這項設定,AppScan 將會移除整個標頭,而不是只移除不支援的編碼。

預設值:True

如果伺服器拒絕 AppScan 的要求、傳回非預期的回應,或 AppScan 無法維護階段作業,您應該檢查資料流量日誌,將 AppScan 傳送的要求與您常用瀏覽器的要求加以比較如果瀏覽器中的 Accept-Encoding 標頭不同或遺漏,您應該啟用這項設定。

重複使用伺服器連線

依預設,AppScan 會在使用後關閉 TCP 連線,因為開啟的連線與已儲存的資料可能會影響掃描結果。

若此選項設為 True,AppScan 會在使用後保持連線,並嘗試重複使用開啟的連線(如果可能)。

預設值:False

如果 Web 伺服器上發生網路資源用盡,將此設定變更為 True 或許可以解決問題。

安全套件順序

AppScan 支援「基本」、「摘要」、NTML、「協議」 和 Kerberos HTTP 鑑別。如果您要強制 AppScan 使用 或不使用特定的方法,或者當網站/Proxy 允許 多種方法,要套用方法選擇的喜好設定順序時,您可以編輯此值。

比方說,如果您只要允許 NTLM 和「基本」,而且在適當的情形下偏好使用 NTLM,請將此字串編輯為: ntlm, basic

預設值:basic、digest、ntlm、negotiate、kerberos

如果您的網站使用特定的鑑別方法,而且 AppScan 被拒絕存取,請將需要的方法定義為唯一的方法,即可解決問題。

如果要使用特定方法(例如「基本」 和 NTLM)來測試您的網站,您可以只用「基本」來配置一個掃描,而另一個則只用 NTLM 來配置。

斜線正規化

URL 正規化是利用單一斜線取代兩個或兩個以上的連續斜線。

預設值:True

如果您的網站 URL 利用 連續斜線,請取消啟動此設定。

將錯誤回應視為有效

AppScan 以不同於一般頁面的方式來處理錯誤頁面(例如,不剖析鏈結)。這項設定可讓您告知 AppScan 僅針對起始 URL 將錯誤頁面視為一般頁面,或一律視為一般頁面。

如果設為 0,AppScan 會將所有錯誤回應視為無效。

如果設為 1,AppScan 會將起始 URL 的所有錯誤回應(4xx 和 5xx)視為有效。

如果設為 2,AppScan 會將一般頁面和起始 URL 的所有錯誤回應都視為有效。

預設值:0

如果您的起始 URL 回應為錯誤頁面,請將設定變更為 1。

如果您要掃描作業從錯誤頁面擷取資料,並且測試頁面,請將這個設定變更為 2。

請注意,變更預設值可能會影響效能。

一般:

AppScan 瀏覽器 Script 錯誤蹦現視窗隱藏

在動作型登入記錄和播放、手動探索、多步驟記錄和瀏覽器中顯示的期間,暫停 AppScan 內建瀏覽器中的 Script 錯誤蹦現視窗。

預設值:False

如果不相關的錯誤蹦現視窗會干擾動作型登入記錄和播放,您可以將此值設為 True 以暫停顯示這些蹦現視窗。請注意,如「HTTP 鑑別」錯誤和「安裝 ActiveX 控制項」等的其他蹦現視窗也會暫停顯示。

合併冗餘測試

當設為 True 時,對於除了額外的 Cookie 之外,完全相同的兩個(或以上)要求,AppScan 只會傳送單一組測試。如果設為 False,所有這類要求都會個別測試。

預設值:True

將此設定變更為 False 會危害效能;請只有在「支援中心」指示時才這樣設定。

Proxy 副檔名過濾器

這個正規表示式用來定義副檔名,以便從您記錄登入、「手動探索」或「多步驟」作業時所儲存的 URL 清單中移除。如果您將副檔名從正規表示式移除,記錄時就不會過濾掉以該副檔名作為結尾的 URL。

預設值:"\.(zip|Z|tar|t?gz|sit|cab|pdf|

ps|doc|ppt|xls|rtf|dot|mp(p|t|d|e|a|3|

4|ga)|m4p|mdb|csv|pp(s|a)|xl(w|a)|

dbf|slk|prn|dif|avi|mpe?g|mov(ie)?|

qt|moov|rmi?|as(f|x)|m1v|wm(v|f|

a)|wav|ra|au|aiff|midi?|m3u|gif|

jpe?g|bmp|png|tif?f|ico|pcx|css|

xml)$"

在極少數情況下,如果您需要在「登入」記錄中包含特定類型的檔案(例如 CAPTCHA 影像檔)以供參考,您可以將其副檔名(在此情況下是 jp?g)從正規表示式移除。

消毒日誌

從日誌中移除機密性資訊。

預設值:False

如果您必須從日誌中移除機密性資訊,請啟動這個選項,並在「機密性資訊型樣」選項中定義所要移除的型樣。

請注意,變更此設定不會影響已經產生的日誌。

消毒報告

從報告中移除機密性資訊。

預設值:True

如果您必須從報告中移除機密性資訊,請啟動這個選項,並在「機密性資訊型樣」選項中定義所要移除的型樣。

在「掃描配置 > 自動表單填入」中定義的密碼,會從所有報告中排除,即使未定義型樣也一樣。

請注意,變更此設定不會影響已經產生的報告。

透過 GSC 傳送所有測試

AppScan 可以對 GSC 找到的部分或所有鏈結,使用 GSC 傳送測試。

0 = 只使用 GSC 傳送 SOAP 訊息

1 = 對 GSC 找到的鏈結,使用 GSC 傳送所有測試

2 = 不使用 GSC 傳送任何測試

預設值:0

在 GSC 中探索網站時,如果您未定義任何特殊的安全設定,則讓 AppScan(而非 GSC)在「測試」階段傳送測試,將可大幅縮短掃描時間。但是,在「測試」階段期間,如果許多測試沒有回應或收到非預期的錯誤回應,則問題可能是因為 GSC 和 AppScan 傳送要求的方式不同。使用 GSC 來傳送這類測試可能會解決問題。

機密性資訊型樣

如果已啟動「消毒日誌」或「消毒報告」選項,則為定義一或多個將過濾掉日誌和報告之群組的正規表示式。

預設值:清空

如果您必須從報告或日誌中移除機密性資訊,請啟動相關選項(「消毒日誌」或「消毒報告」),並在這裡定義正規表示式中的一或多個群組。

機密性文字會取代為:**CONFIDENTIAL 1**、**CONFIDENTIAL 2**,依此類推。

在「掃描配置 > 自動表單填入」中定義的密碼,會從所有報告中排除,即使未定義型樣也一樣。

JavaScript™:

提取外部鏈結

在啟用 JavaScript 執行的情況下,容許 AppScan 提取外部鏈結,即使其伺服器未在 AppScan 中配置為附加伺服器。

預設值:False

HTML 頁面會經常鏈結至外部 JavaScript 原始檔,如 Dojo 和 jQuery 原始檔。如果您要 JavaScript 執行存取在「探索」階段期間所發現的所有相關鏈結,而不將所有伺服器新增至 AppScan 所測試的「其他伺服器和網域」清單,請啟動此設定。

請注意,AppScan 將會提取鏈結,但是不會測試它,或是剖析它以取得新鏈結。

JavaScript 鏈結型樣

AppScan 使用各種型樣來識別 JavaScript 程式碼中的鏈結。如果您的網站使用不常見的型樣,請在這個正規表示式中定義它們。

預設值:清空

如果 AppScan 似乎遺漏 JavaScript 程式碼中的鏈結,且您的網站使用不常見的 JavaScript 鏈結型樣,請在這裡定義一或多個型樣,以告知 AppScan 所要搜尋的目標。

本地化:

HTML 編碼

置換您網站的 HTML 回應中所定義的編碼。

預設值:清空

如果掃描結果中的回應內容似乎已損毀,這可能表示:

1) AppScan 未正確識別編碼方法,或者

2) 您網站的 HTML 中未正確定義編碼方法

如果要解決 1:請在「探索選項」下拉清單中選取正確方法。

如果要解決 2:請在這裡輸入正確的編碼方法。

參數與 Cookie:

將冗餘的 JSON 參數從測試排除

JSON 內容類型主體含有單一參數的多個值,這些值並不需要個別測試。如果設為 True,AppScan 會嘗試識別冗餘值,並限制測試至子集,以減少掃描時間。

預設值:True

如果您發現未測試到特定的重要參數,請將此設定變更為 False。

將冗餘的 XML 參數從測試排除

XML 內容類型主體含有單一參數的多個值,這些值並不需要個別測試。如果設為 True,AppScan 會嘗試識別冗餘值,並限制測試至子集,以減少掃描時間。

預設值:True

如果您發現未測試到特定的重要參數,請將此設定變更為 False。

追蹤標頭中的自訂參數

這項設定僅適用於使用 AppScan 8.7.0.1 版或更舊版本儲存的掃描。在較新的版本中,預設行為已變更為 True,而個別參數與 Cookie 的設定是在以下位置控制:掃描配置 > 參數與 Cookie > 參數定義 > 追蹤選項 > 相符:標頭與主體 (預設值)或僅主體(請參閱 參數定義)。

依預設,AppScan 8.7.0.1 和更舊版本只會在回應的主體中搜尋自訂參數,不會在其標頭中搜尋。如果將此設定變更為 True,則 AppScan 也會在標頭中搜尋。

預設值:False

如果 AppScan 因為回應標頭中的參數變更而登出階段作業,變更這項設定可以解決此問題。請注意,這可能會增加掃描時間。

只有在行內內容存在時,才在「測試」階段中追蹤動態參數

在「測試」階段期間追蹤動態參數可能會導致效能問題。因此,只有在回應行內內容時才會在「測試」階段期間追蹤動態參數。

預設值:True

只有在這種追蹤類型很重要時,才將此設定變更為 False。

伺服器關閉偵測:

在「探索」中檢查「伺服器關閉」

可在「探索」階段期間傳送活動訊號要求,來檢查「伺服器關閉」。

預設值:True

如果 AppScan 在「探索」階段期間發生伺服器關閉錯誤,但伺服器並未關閉,這可能是因為伺服器封鎖了經常性活動訊號要求。

如果 AppScan 在掃描期間經常登出階段作業,這可能是因為傳送給伺服器作為活動訊號的「起始 URL」不含 Cookie。

停用這項設定可以解決這個問題,但請注意,AppScan 將無法驗證伺服器狀態。

在「測試」中檢查「伺服器關閉」

可在「測試」階段期間,傳送活動訊號要求,來檢查「伺服器關閉」。

預設值:True

如果 AppScan 在「測試」階段期間發生伺服器關閉錯誤,但伺服器並未關閉,這可能是因為伺服器封鎖了經常性活動訊號要求。

如果 AppScan 在掃描期間經常登出階段作業,這可能是因為傳送給伺服器作為活動訊號的「起始 URL」不含 Cookie。

停用這項設定可以解決這個問題,但請注意,AppScan 將無法驗證伺服器狀態。

探索階段重新連線嘗試

AppScan 即將完成「探索」階段,但若干測試因為「伺服器關閉」而失敗,而且伺服器仍然關閉時,AppScan 會嘗試連接伺服器幾次。

預設值:5

如果您知道伺服器較為敏感,或發現若干測試因通訊錯誤而失敗時,掃描也因為通訊錯誤而停止,您應該增加這個數字。

要求重試間隔

重送失敗要求(包括失敗的活動訊號要求)之前的間隔(秒)。

預設值:1

如果您知道連線品質不佳或伺服器不穩定(這會導致假性無侵害攻擊結果,或涵蓋面縮小),您可以增加這個間隔以減少影響。

要求重試限制

重試傳送失敗要求的次數

預設值:2

如果您的伺服器不穩定或通訊不良,增加這項設定可以使掃描更有效率。

伺服器關閉逾時

AppScan 無法連接伺服器或登出階段作業時,這項設定會定義在 AppScan 停止掃描之前,嘗試重新連接或返回階段作業的時間長度(秒)。

預設值:185

如果您的連線速度較慢,或伺服器當機後很久才會重新載入,您可以增加這項設定值。

伺服器關閉活動訊號間隔

「伺服器關閉」活動訊號之間的間隔(秒)。

預設值:3 秒

最大值:60 秒

如果 AppScan 在掃描期間發生伺服器關閉錯誤,可能是因為連線品質不佳或伺服器不穩定。增加這個間隔可以解決此問題。

測試階段重新連線嘗試

AppScan 即將完成「測試」階段,但若干測試因為「伺服器關閉」而失敗,而且伺服器仍然關閉時,AppScan 會嘗試連接伺服器幾次。

預設值:5

如果您知道伺服器較為敏感,或發現若干測試因通訊錯誤而失敗時,掃描也因為通訊錯誤而停止,您應該增加這個數字。

階段作業管理:

Ad 網域

說明一般 Web Advert 網域的正規表示式。記錄登入序列時,會捨棄傳送至這些網域的要求。

預設值:ad\d.googlesyndication| doubleclick\.net|coremetrics\.|webtrends\ .|112\.2o7\.net|view.atdmt.com| ad.yieldmanager.com|ads.adbrite.com| oasn04.247realmedia.com| segment-pixel.invitemedia.com"

由於在掃描期間,登入序列會繼續重播,因此,您可以過濾掉這些不必要的要求,來改善掃描效率。

請注意,如果您完全刪除正規表示式,則不會過濾掉任何網域。

分析登入錄製

當您記錄登入序列(掃描配置 > 登入管理)時,AppScan 會分析它並且更新階段作業內偵測設定(在登入期間收到的階段作業內型樣、階段作業內要求,和階段作業 ID)。

預設值:True

如果分析耗費太久時間,您可以將此設定變更為 False。但是,如果您這麼做,就必須手動配置階段作業內偵測設定。

播放登入之前清除 Cookie

決定是否要先刪除 Cookie 再重播登入序列。

預設值:True

共用靜態參數值

共用靜態參數值。用於偵測非隨機參數值,在登入期間不應加以追蹤。

預設值:|true|false|\bon\b|\boff\b|\ bout\b|checked|enabled|log\s?in|log\ s?out|exit|submit|sign|ever|disabled| agree

停用「探索」階段階段作業內緩衝

在「探索」階段期間:如果對於送出的要求,回應指出使用者已登出階段作業,AppScan 會將要求放到佇列並重送。這樣可確保盡可能掃描多個網站。

預設值:False

如果您的網站太頻繁地將使用者丟出階段作業之外,階段作業內緩衝可能會導致「探索」階段無限期地進行下去。設定此選項為 True 會使「探索」階段較為快速,但可能會減少網站涵蓋面。

多步驟作業之前的階段作業內

依預設,AppScan 在重播多步驟作業之前會驗證階段作業內狀態。

預設值:True

如果您要以未經鑑別的使用者身分測試多步驟作業,或您的多步驟序列包括登入步驟,請將這個設定變更為 False。

重要: 如果取消選取掃描配置 > 登入管理 > 詳細資料 > 啟動階段作業內偵測,且這項進階設定已設為 True(預設值),則在每一個多步驟作業之前會重播整個登入序列。

階段作業內活動訊號間隔

階段作業內活動訊號之間的間隔(秒)。

預設值:5

如果 AppScan 在掃描期間登出階段作業,可能是因為連線品質不佳或伺服器不穩定。增加這個間隔可以解決此問題。

登入內容類型過濾器

正規表示式,用來定義應該在登入和多步驟作業序列中過濾掉的內容類型。在記錄登入或多步驟作業序列時,如果要求的回應標頭含有這些內容類型,則會從序列中移除這種要求。因此,當 AppScan 在掃描期間重播序列時,一旦要求的回應標頭含有這些內容類型,這種要求將不會隨著序列一起傳送。

預設值:text/javascript|application/javascript|

application/x-javascript|image|text/css

如果您網站的登入程序或您已記錄的其中一個多步驟作業需要按一下鏈結,而該鏈結的標頭含有這裡所列出的內容類型,您應該從正規表示式中移除該鏈結。

登入重試間隔

重送失敗登入要求之前的間隔 (秒)。

預設值:3

如果 AppScan 登出階段作業,且登入重試一再失敗,這可能是因為伺服器對於頻繁的登入嘗試很敏感。增加這個間隔可以解決此問題。

多組件內容類型過濾器

為了減少不必要的記憶體耗用,會自動過濾掉某些內容類型的多組件要求(包含多個內容類型的要求)。只有在這個正規表示式中定義的內容類型才會包含在多組件要求中;所有其他內容類型都會被篩除。

沒有內容類型標頭的內容依預設會包含在內,並由下值定義:
content_without_content_type_header

預設值:text/|text/plain|application/javascript|

application/json|application/rtf|application/xml|

text/xml|content_without_content_type_header

如果有重要內容類型的要求被過濾掉,請將它新增至此正規表示式。您也可以移除不必要的內容類型,讓它們不被傳送,以減少記憶體耗用。

導覽參數主機

說明主機的正規表示式。用於偵測在登入序列期間不應加以追蹤的導覽參數(依值)。

預設值:HTTPS

如果網站在預設正規表示式不會過濾掉的導覽參數中使用罕見主機,您可以新增它們以改善掃描效率。

如果您刪除該項目,則可能無法適當地識別導覽參數。

導覽參數 Script

說明伺服器端 Script 的正規表示式,用於偵測在登入序列期間不應加以追蹤的導覽參數(依參數值)。

預設值:/[^/\.]+\.(htm|jsp|jsf|ws|dll|asp|php|do)

如果網站在預設正規表示式不會過濾掉的導覽參數中使用罕見伺服器端 Script,您可以新增它們以改善掃描效率。

如果 您刪除該項目,則可能無法適當地識別導覽 參數。

導覽參數

說明導覽參數的正規表示式,在登入序列期間不應加以追蹤。

預設值:\bnav|url|page|step|redirect|request|

location|target|argument|item|article|

goto|node|action|ctrl|control|source|

menu|frame|command

如果網站使用預設正規表示式不會過濾掉的罕見導覽參數,您可以新增它們以改善掃描效率。

修改這個正規表示式可能導致掃描涵蓋面不足或階段作業追蹤不正確。

剖析階段作業內頁面

如果設為 False,AppScan 不會剖析階段作業內頁面,而且不會更新階段作業內的頁面中,值已變更的追蹤參數或 Cookie。

預設值:True

如果您的階段作業內頁面不包含追蹤 Cookie 或參數,可以將此設定變更為 False 來改進效能。請注意,如果設為 False,AppScan 將不會更新階段作業內頁面中的 Cookie/參數值,而導致登出階段作業。

活動訊號之間的要求

在某個階段作業內偵測要求之後,AppScan 至少會傳送這裡定義的要求數目,然後才傳送另一個階段作業內偵測要求。

預設值:1

如果因為伺服器回應太慢,而導致掃描的多數是階段作業內偵測要求(請參閱「資料流量日誌」),增加這個值可以減少掃描時間。

單一動作型登入嘗試的逾時值

在強制瀏覽器關閉之前,AppScan 等待瀏覽器重播單一動作型登入嘗試的時間(以秒為單位)。

預設值:120 秒

特殊型樣:

從「自動表單填入」排除

這裡所列的參數名稱會從「自動表單填充值」中排除。

預設值:^CFID __EVENTVALIDATION __VIEWSTATE ^CFTOKEN __EVENTARGUMENT __EVENTTARGET ^BV_ 

參數值太長會使掃描速度變慢及增加檔案大小。如果應用程式使用的參數值太長,且對於填寫表單並非必要,請將它們加入此清單中。

測試:

CSRF:有意義要求的型樣

依預設,AppScan 會測試 POST 要求,以及其回應為「交易成功」的要求,是否為「偽造跨網站要求」。

這項設定可讓您將其他要求定義為對於「偽造跨網站要求」漏洞「有意義」(除了 POST 要求之外)。

這個定義與以下項目一起使用:「CSRF:有意義回應的型樣」。

預設值:^POST

如果您也想要測試 GET 要求是否為「偽造跨網站要求」,請變更這個正規表示式。

CSRF:有意義回應的型樣

依預設,AppScan 會測試 POST 要求,以及其回應為「交易成功」的要求,是否為「偽造跨網站要求」。

這項設定可讓您將其他回應定義為對於「偽造跨網站要求」漏洞「有意義」(除了「交易成功」之外)。

這個定義與以下項目一起使用:「CSRF:有意義要求的型樣」。

預設值:交易成功

如果您想要測試接收其他回應類型的要求是否為「偽造跨網站要求」,請在這個正規表示式中定義它們。

差異臨界值

AppScan 經常需要比較兩個回應,並決定該回應是「類似」還是「不同」,以瞭解測試是否成功。在這些情況下,AppScan 會使用各種演算法來指派「相似性百分比」(其中 100% 表示兩個回應相同)。在某些情況下,它會根據「相似性百分比」是否高於「相似性臨界值」來決定測試結果,而在其他情況下,則根據它是否低於「差異臨界值」來決定測試結果。兩個臨界值都可以配置。

就大部分的測試而言,預設「相似性臨界值」為 95%,而預設「差異臨界值」為 75%。這表示:
  • 針對其結果是根據相似性的測試結果,「相似性百分比」為 95% 或以上表示兩個頁面是類似的。
  • 針對其結果是根據差異的測試結果,「相似性百分比」為 75% 或以下表示兩個頁面是不同的。

如果您對此設定輸入 1 到 100(百分比)之間的值,它將置換所有測試的預設「差異臨界值」。您可能也想要調整「相似性臨界值」。

預設值:0(使用 AppScan 臨界值)

如果網站沒有「動態」文字造成類似回應稍微不同,則設定低於 75 的值可能減少誤判結果。

提示: 您可能也想要調整「相似性臨界值」(請參閱以下所述)。

停用 Cookie 測試

這項設定用來完全關閉 Cookie 測試。

預設值:False

如果應用程式的 Cookie 測試導致掃描時間很長,您可以停用 Cookie 測試。不過,這麼做可能會導致遺漏安全問題(假性無侵害攻擊)。

停用靜態內容的 Cookie 測試

不要以此延伸測試頁面要求中的 Cookie。

預設值:;htm;html;ahtm;ahtml;

chtm;chtml;fhtm;fhtml;mht;

mhtm;mhtml;css;css1;js;

如果要減少掃描時間和記憶體耗用,您可以排除其他類型的頁面延伸。若是如此,請將它們新增至要排除的延伸清單,之間以分號區隔。

不測試目錄或頁面

這個選項可讓您定義正規表示式,這個選項可讓您定義正規表示式,使其免於遭受攻擊。請注意,這只會排除已定義的目錄或頁面,並不會排除任何子目錄或檔案。

預設值:/wps/[^/]*/!ut/

如果您知道某些目錄或頁面沒有漏洞,或是顧慮到測試它們可能會傷害網站的穩定性,可以藉由在這個正規表示式中定義它們,將它們排除在掃描之外。

如果要排除資料夾及其所有子資料夾,請參閱 排除路徑和檔案視圖

從所有回應擷取鏈結

依預設,測試階段期間,AppScan 只會在有漏洞的回應中搜尋新鏈結。

預設值:False

如果您認為 AppScan 可能遺漏鏈結,或其涵蓋範圍不足,您可以啟用這項設定,但這麼做會增加掃描時間和檔案大小。

遵循所有自動鏈結

依預設,AppScan 只會遵循可能包含漏洞的自動鏈結*。它們是:資訊訊框 (iFrame)、訊框和重新導向。您可以將它配置成遵循所有類型的自動鏈結。

請注意,無論此設定為何,系統都不會傳送與「要忽略的自動鏈結」中所定義之正規表示式相符的要求。

預設值:False

如果您認為網站在其他類型的自動鏈結(如 Script )中可能含有漏洞,請啟用這項設定。這將會增加掃描時間和檔案大小。

測試後登入

於單一執行緒中傳送測試,並在每一個測試之後驗證是否在階段作業內,或傳送登入序列。

0 = False

1 = 在單一執行緒中傳送測試,然後在每一項測試之後驗證是否在階段作業內。如果已離開階段作業,則傳送登入序列。

2 = 在單一執行緒中傳送測試,然後在每一項測試之後傳送登入序列。

預設值:0

如果應用程式含有機密的階段作業,或需要經常登出以避免發生階段作業或記憶體問題,則可能需要設定 1 或 2。這會大幅增加掃描時間。

多步驟作業:驗證限制

來自「多步驟作業」序列且將在「跨網站 Scripting」測試中驗證的連續要求數上限。

預設值:0

回應中忽略的型樣

這個正規表示式定義 AppScan 分析測試回應時,將忽略的回應區段。

當比較回應來判定測試是否成功時,AppScan 會測量整個回應中變更的百分比。如果回應非常長,且變更非常小,AppScan 可能會忽略差異而遺漏漏洞。

預設值:<input[^>]+(__VIEWSTATE|__

EVENTTARGET|

__EVENTARGUMENT|

__EVENTVALIDATION)

[^>]+>

如果網站傳送的回應中含有不重要的冗長區段,在這裡定義它們可以增進掃描正確性和效能。

重新整理原始回應間隔

在「測試」階段期間,重新整理原始回應(透過重新傳送要求)之前的間隔(秒)。

AppScan 決定「測試」回應是否會顯示漏洞的其中一種方式為,將它與「探索」回應相比較。當「探索」回應比這裡設定的值還舊時,即會在傳送測試之前重送「探索」要求,使得更新後的「探索」回應可以用於比較。這對於「探索」回應可能會因時間而改變,且將「測試」回應與過時的「探索」回應相比較可能會導致誤判的這種狀況而言非常重要。

預設值:30(秒)

如果您確定在這種方式下應用程式的回應永不會過時,您可以將這項設定變更為零來減少掃描時間。如此永不會重送「探索」階段的要求。

傳送埠接聽器測試

依預設,AppScan 不會傳送埠接聽器測試,因為可能發生失敗且需要花費時間進行驗證。

預設值:False

如果外部網站是網路的一部分,因此知道本端 IP 位址,您可以啟動這類型盲目的 SQL 注入測試。

相似性臨界值

AppScan 經常需要比較兩個回應,並決定該回應是「類似」還是「不同」,以瞭解測試是否成功。在這些情況下,AppScan 會使用各種演算法來指派「相似性百分比」(其中 100% 表示兩個回應相同)。在某些情況下,它會根據「相似性百分比」是否高於「相似性臨界值」來決定測試結果,而在其他情況下,則根據它是否低於「差異臨界值」來決定測試結果。兩個臨界值都可以配置。

就大部分的測試而言,預設「相似性臨界值」為 95%,而預設「差異臨界值」為 75%。這表示:
  • 針對其結果是根據相似性的測試結果,「相似性百分比」為 95% 或以上表示兩個頁面是類似的。
  • 針對其結果是根據差異的測試結果,「相似性百分比」為 75% 或以下表示兩個頁面是不同的。

如果您對此設定輸入 1 到 100(百分比)之間的值,它將置換所有測試的「相似性臨界值」。

預設值:0(使用 AppScan 臨界值)

如果網站沒有「動態」文字造成類似回應稍微不同,則增加此百分比可能減少誤判結果。

提示: 您可能也想要調整「差異臨界值」(請參閱以上所述)。

XSS:測試所有反映的探測

在網站回應中多次出現的內容文字,通常會有相同層次的漏洞,因此 AppScan 僅測試其中一個。

預設值:False

如果您要對單一回應中,所有出現的內容文字進行測試,請將此設為 True。

* 自動鏈結:網頁上瀏覽器不需要任何使用者互動,即會自動傳送的鏈結。