评估探索结果

继续“测试”阶段前,请先复审“探索”结果,因为如果在“探索”阶段遗漏了站点的重要区域,那么在“测试”阶段将无法对这些区域进行测试。

关于此任务

“探索”阶段的结果显示在三个“数据”视图窗格中。以下提示用于评估“探索”阶段是否顺利运行以及是否达到较全面的应用程序覆盖范围。
注: 如果在此阶段中对配置执行了任何更改,那么您应该在开始“测试”阶段前重新探索该应用程序。

过程

  1. 扫描日志。使用扫描日志来检查 AppScan 未频繁退出会话。
    1. 单击查看 > 扫描日志
    2. 向下滚动日志条目以检查 AppScan 未频繁退出会话。

    如果 AppScan 在五分钟内多次退出会话,那么就可能需要重新记录和重新配置已记录的登录,特别要留意会话中检测配置。

  2. 应用程序树。这是已发现和探索的所有站点区域的图形表示法。请使用它来查看站点的覆盖情况。
    1. 应用程序树是否准确显示应用程序的分层结构和主要页面?
    2. 树中是否包含登录 URL?(如果没有,那么该登录将永不发送。)
    3. 已访问 URL 的总数量(显示在左下角)与您了解的实际站点大小是否匹配?
    4. 是否创建了适当数量的用于在“测试”阶段发送的测试(至少应为 URL 数量的五倍)?
  3. 已发送请求。复审并验证探索阶段发送的请求。
    1. 在“数据”窗格中,选择请求视图以显示所有已发送的请求。
    2. 验证此列表中存在登录 URL,特别是会话中请求和包含用户凭证的登录请求。
    3. 检查在登录过程中的登录请求后出现的某些请求。确认响应未包含错误。要执行此操作,请在“详细信息”窗格的搜索字段中输入词“error”,然后在上方窗格中逐个选择 URL。如果特殊响应中包含“error”一词,那么搜索字段的颜色将会从红色(“未找到”)更改为绿色(“已找到”),并且将在响应正文中突出显示词“error”。
    4. 如果这些请求包含错误字符串,那么就表明用户已退出会话,因此也就没有正确记录登录过程。再次进行记录。
  4. “应用程序数据”视图。这是“测试”阶段的缺省视图,提供了各种视图,可通过单击窗格顶部的过滤器进行查看。
    1. 单击 F2 或工具栏右侧的数据图标以打开此视图。
    2. 在“数据”窗格顶部,选择一个过滤器以查看信息。
    3. 单击“数据”窗格中的一个项目以查看其在“详细信息”窗格中的详细信息。
  5. 定制错误页面。4xx 响应自动标识为错误页面。如果您的站点返回带定制错误页面的 2xx 响应,那么您就必须配置 AppScan 以识别这些错误页面。此信息对于确定测试是否成功非常重要。未配置定制错误页面将造成不准确的结果,包括误报和漏报。因此,如果您在上一步骤中发现其响应中包含“error”一词的页面,但却未归类为错误页面,那么请立即配置这些页面。
    1. 在“详细信息”窗格中,单击在浏览器中显示以验证它是否确实为错误页面。
    2. 单击设置为错误页面
      注: 您也可以在扫描配置 > 错误页面中定义错误页面,即通过单击加号 (+) 图标,然后定义字符串、正则表达式、URL 或页面即可。
  6. 已过滤的 URL。复审发送的请求列表,以验证其中不包含应该已发送的请求。
    1. 在“数据”窗格中,选择已过滤的 URL 视图,然后验证已过滤的 URL 是否确实应该过滤以及是否正确归类。
    2. 如果由于 URL 的域(“未测试的 Web 服务器”)而导致错误地过滤了 URL,请将相应域添加至扫描(配置 > URL 和服务器 > 其他服务器和域 > +)。
    3. 如果由于达到路径限制而导致 URL 过滤错误,请考虑执行以下一项配置更改:

      - 增加“冗余路径限制”(配置 > 探索选项 > 冗余路径限制

      - 调整缺省“冗余调整”(参数和 Cookie > 冗余调整缺省值

      - 调整独立参数的“冗余调整”

  7. 基于参数的导航。如果全部站点或站点的某部分发送一个 URL,但内容和结构由不同的参数控制,请参阅使用基于参数的导航的站点
  8. 参数。在“数据”窗格中,复审“探索”阶段发现的参数。
    1. 在“数据”窗格中,选择参数视图,以查看“探索”阶段发现的所有参数。
    2. 如有必要,请更新定义(配置 > 参数和 Cookie)。
  9. 失败的请求。这些请求的响应状态为 4xx(“错误”)。请复审此列表以检查合理请求是否意外获得错误响应。
    1. 在“数据”窗格中,选择失败的请求视图。
    2. 404 未找到:单击在浏览器中显示以验证该 URL 不存在。
    3. 超时或连接失败:查看扫描是否需要更高的超时(配置 > 通信和代理 > 超时),站点服务器或环境是否需要改进,或者连接问题是由多线程扫描引起(配置 > 通信和代理 > 线程数,将设置减小至“1”),还有因在给定时间内发送了太多请求引起(配置 > 通信和代理 > 请求速率限制)。
    4. 401 或 407 需要认证:这表示存在需要 HTTP 认证的应用程序区域(在配置 > 平台认证中进行设置)。
    5. 其他 4xx 状态:检查站点是否由于用户未登录而返回错误。如有必要,请再次记录登录过程(配置 > 登录管理)。
  10. 如果在复审初始“探索”结果后感觉覆盖范围不足,请参阅下一节以执行可能的配置更改。请参阅其他配置