初始配置

关于此任务

尝试开始探索站点前(无论手动或自动),请先执行这些基本配置步骤。

过程

  1. 定义并验证扫描的起始 URL。
    1. 单击文件 > 新建并使用向导创建新的 Web 应用程序扫描或者使用“配置”对话框(扫描配置 > URL 和服务器视图)进行配置。
    2. 输入扫描的“起始 URL”。
    3. 如果应用程序区分大小写,请确保选中“区分大小写的路径”复选框。

      一般而言,在基于 Linux 的操作系统上运行的应用程序通常会区分大小写,而在 Microsoft Windows 操作系统上运行的应用程序则不区分大小写。基于 Java 的应用程序则例外,它们在任何操作系统上通常都是区分大小写。

    4. 单击 URL 字段旁边的在浏览器中查看图标,并验证 AppScan 浏览器中是否出现预期页面。
  2. 记录登录过程。这使 AppScan 能够登录到应用程序以开始扫描,并且在扫描过程中注销后也可随时进行登录。
    1. 在向导的步骤 2 中(或者在扫描配置 > 登录管理视图中),单击红色“记录”按钮以开始记录您的操作。浏览器打开,并显示先前定义的起始 URL。
    2. 执行用户为登录到应用程序所需执行的所有步骤。
    3. 在页面上查找确认登录的指示信息,如“欢迎 [用户名]”或“注销”链接,这些信息只有已登录的用户才能看到。
    4. 关闭浏览器并查找绿色密钥图标 ,确认已标识会话中模式。
      如果该图标为红色 ,那么表明尚检测到会话中模式,而您必须手动对其进行定义(请参阅“选择检测模式”对话框)。
      注: 虽然在一般情况下,首个在其响应中包含了会话中模式的 URL 应该是“会话中 URL”,并且这是自动选择的 URL,但有时您可以通过选择其后的 URL 来提高性能(请参阅优化会话中检测)。
  3. 验证会话中模式。会话中模式是一个正则表达式,它与用户成功登录后在页面上所看到的模式或字符串相匹配,如“欢迎 [用户名]”或“注销”链接。即使该图标为绿色,您仍然应该验证此模式。
    1. 在该向导的步骤 2 中,选择我希望配置会话中检测选项,然后单击下一步(或者转至扫描配置 > 登录管理 > 详细信息视图)。

      此时将显示“登录序列”。

    2. 双击标记为“会话中”的页面,以在浏览器中打开该页面。
    3. 在浏览器中,单击“请求/响应”选项卡以查看源代码并验证选定模式是否确实表明会话中状态。
      注: 如果页面内容为 JavaScript 或 CSS,那么在任何情况下它都不符合会话中页面,您应该选择其他页面。

    如果密钥图标为绿色,但选定模式不是会话中模式,请参阅基于请求的登录故障诊断

  4. 锁定配置。在“测试”阶段,AppScan 进行了多次无效的登录尝试。如果您的站点具有帐户锁定功能(即,在用户输入一定次数的无效密码后锁定用户),那么 AppScan 将会被锁定且无法完成扫描。
    • 禁用帐户锁定,或者(如果这是不可行的话)
    • AppScan 配置为不测试登录和注销页面(扫描配置 > 测试选项,取消选择发送对登录和注销页面的测试)。