自動掃描的運作方式
本主題說明掃描的「階段」和「回合」之間的差異。
AppScan 的「完整掃描」由兩個階段組成:「探索」和「測試」。雖然對使用者而言,掃描程序事實上大部分都是以緊密方式進行,在掃描完成之前,只需要少量的使用者輸入,但瞭解其背後的原則會很有用。
「探索」階段
在第一個階段期間,AppScan 會模擬 Web 使用者按一下鏈結和完成表單欄位,來探索網站(Web 應用程式或 Web 服務)。這是「探索」階段。
AppScan 會分析它送出的每項要求的回應,尋找任何潛在漏洞的蛛絲馬跡。當 AppScan® 收到可能表示安全漏洞的回應時,它會自動根據回應來建立一或多項測試,且會記下判斷構成漏洞的結果所需要的驗證規則,以及所包含的安全風險層次。
在傳送所建立的網站專用測試之前,AppScan 會先傳送一些形態異常的要求給應用程式,以判斷產生錯誤回應的方式。之後,再利用這項資訊來增加 AppScan 的自動測試驗證程序的精準度。
「測試」階段
在第二個階段期間,AppScan 會傳送它在「探索」階段期間所建立的數千項自訂測試要求。它會記錄應用程式對每項測試的回應,並利用自訂驗證規則來分析這些回應。這些規則可識別應用程式內的安全問題,也能夠評定它們的安全風險層次等級。
掃描回合
實際上,「測試」階段經常會顯示網站內的新鏈結,以及更多潛在的安全風險。因此,在完成第一「回合」的「探索」和「測試」之後,AppScan 會自動開始第二「回合」來處理新的資訊。如果第二回合期間發現新鏈結,便會執行第三回合,依此類推。
完成所配置的掃描回合數目(使用者可以配置;預設值是 4 次)之後,掃描便告停止,使用者可以使用完成的結果。
自動掃描流程圖解
下圖說明自動掃描流程的階段和回合。請注意,這項程序不需要使用者採取任何動作,但您可能發現 AppScan 日誌中有提到它們。
