進階使用者的工作流程

此工作流程可協助具備 Web 安全領域經驗的使用者達成更徹底的掃描。

「測試」階段甚而掃描本身的成功與否,取決於「探索」階段所達到的涵蓋面。如果「探索」階段遺漏應用程式邏輯的重要部分,「測試」階段將無法顯示可能存在的重要漏洞。遵循這項工作流程,有助於改良「探索」階段的涵蓋面。


工作流程圖

作業

說明

1. 起始配置

使用精靈或「掃描配置」對話框:
  1. 定義起始 URL
  2. 記錄登入程序
  3. 驗證階段作業內型樣,必要的話,請選擇新型樣
  4. 如果您的網站具有帳戶封鎖特性,請停用該特性,或是將 AppScan 配置成不測試登入頁面 - 否則,在「測試」階段,AppScan 會被網站封鎖在外,而無法繼續進行。

如需這個步驟的完整說明,請參閱起始配置

2. 僅探索

執行起始「自動探索」:
  1. 在工具列中,按一下掃描圖示 > 僅探索,並讓新的「探索」階段完成。AppScan 會探索網站但是暫未測試。一旦「探索」階段開始,Scan Expert 將會執行,並且可能建議對配置進行某些變更。預設值只會讓 Scan Expert 進行那些可自動套用的變更。
    註: 如果您的網站使用 URL 重新編寫,請執行「探索最佳化」(工具 > 延伸 > 探索最佳化模組:執行),如果延伸建議,則再次執行「自動探索」階段(掃描 > 重新探索)。
  2. 如果「探索」因 AppScan 在階段作業外而提早終止,請重新記錄和重新配置登入程序,並且特別注意「階段作業內偵測」和「階段作業 ID 追蹤」。

如需這個步驟的完整說明,請參閱起始自動探索

3. 使用瀏覽器來手動改良網站涵蓋面

新增「自動探索」遺漏的 URL:
  1. 手動探索:使用「手動探索」來新增個別的頁面,比方說,需要特定輸入的那些頁面。
    註: 當遇到內建瀏覽器無法瀏覽應用程式的極少數情況時,您可以將 AppScan 配置成使用不同的瀏覽器。
  2. 多步驟作業:如果網站的某些部分必須依特定順序點按鏈結才能抵達,請記錄一或多個「多步驟作業」。

如需這個步驟的完整說明,請參閱手動改良網站涵蓋面

4. 僅繼續探索

藉由您透過「手動探索」提供的新資料,「自動探索」有可能可以更徹底地探索應用程式。
註: 按一下掃描圖示 > 繼續自動探索(或掃描 > 僅探索),以保留起始的「探索」結果和「手動探索」資料。請不要按重新掃描 > 重新探索,因為這會刪除現有的資料。

5. 評估「探索」結果

檢閱到此為止的結果,以查看這般致力的探索是否已周延涵蓋應用程式邏輯。
註: 如果您對配置進行任何變更,則應再次執行「自動探索」(掃描 > 重新探索)。

如需這個步驟的完整說明,請參閱評估「探索」結果

6.(如果必要的話)其他配置

如果到此為止的應用程式涵蓋面不足,有一些其他配置選項應納入考量。

如需這個步驟的完整說明,請參閱其他配置

7.「測試」階段

按一下僅測試,繼續進行「測試」階段,以完成掃描。