主页
工具
本節說明如何使用 HCL AppScan Standard 所提供的其他工具。
PowerTool
AppScan 提供五個公用程式的存取權 (PowerTools)，每個公用程式都提供特定的特性來協助您管理應用程式安全，或協助您使用 AppScan。
Authentication Tester
Authentication Tester PowerTool 是測試公用程式，會利用「強制入侵」的技術，來顯示可能會用來取得您 Web 應用程式存取權的低保護性使用者名稱/密碼組合。（強制入侵攻擊是一個自動化程序，其利用嘗試錯誤來猜測鑑別認證，讓伺服器將冒充者誤認為合法使用者。）
表單鑑別
提供一般登入

工具
本節說明如何使用 HCL AppScan Standard 所提供的其他工具。
- 「選項」對話框
  這一節說明您可以從選項對話框（工具 > 選項）進行控制，以便自訂 AppScan 的選項。
- Web 服務精靈延伸
  此延伸可讓您使用 Open API 說明檔進行掃描。可以從工具 > 延伸 > Web 服務精靈 (Open API) 取得，延伸預設為啟用。
- 掃描排程器
- 使用者定義測試
- PowerTool
  AppScan 提供五個公用程式的存取權 (PowerTools)，每個公用程式都提供特定的特性來協助您管理應用程式安全，或協助您使用 AppScan。
  - Authentication Tester
    Authentication Tester PowerTool 是測試公用程式，會利用「強制入侵」的技術，來顯示可能會用來取得您 Web 應用程式存取權的低保護性使用者名稱/密碼組合。（強制入侵攻擊是一個自動化程序，其利用嘗試錯誤來猜測鑑別認證，讓伺服器將冒充者誤認為合法使用者。）
  - 連線測試
    連線測試 PowerTool 可讓您不需使用 Ping 通訊協定（許多防火牆會加以封鎖），即可對網站進行連線測試。
  - 編碼/解碼
    編碼/解碼 PowerTool 會將您放入的字串進行編碼和解碼成為您選擇的格式。
  - Expression Test
    撰寫精確的正規表示式可能是一個冗長的嘗試錯誤的過程。您可以使用 Expression Test PowerTool 來協助加速程序。
  - HTTP 要求編輯器
    HTTP 要求編輯器 PowerTool 可讓您將受到完整控制的 HTTP 要求傳送到您的網站，以測試網站如何回應不同類型的 HTTP 要求。
- 自訂工具功能表
- 延伸
- 日誌
  日誌可協助您進行疑難排解。
- 搜尋結果
  您可以過濾任何視圖中的「結果清單」，來尋找特定資料。

提供一般登入

執行這項作業的原因和時機

如果您在主視窗的鑑別方法區段中選取表單鑑別，則會出現設定按鈕。這是用來配置 Authentication Tester，使其具有正確的「登入」程序。

程序

按一下設定。

這時會開啟 Authentication Tester 瀏覽器。
瀏覽至 Web 應用程式的登入頁面。
利用這些認證執行「登入」程序（您可以從瀏覽器視窗的上方部分加以剪貼）：

使用者名稱：

BruteUsername

密碼：

BrutePassword

Authentication Tester 需要您利用這些值來建立網站登入程序的模型。在測試階段期間，當 Authentication Tester 嘗試透過「強制入侵」來取得網站的存取權時，這些字串會換成可能的使用者名稱和密碼組合。不過，當您現在完成「登入」程序時，Authentication Tester 並不會實際嘗試使用這些認證來登入，而只會檢查登入要求。
注意：如果用戶端驗證不允許 "BruteUsername" 和 "BrutePassword" 字串，則不會建立「登入」要求供 Authentication Tester 檢查！在此情況下，您必須變更使用者名稱和密碼字串的位置保留元值。請參閱「表單鑑別」標籤。
當您完成登入程序時，Authentication Tester 會「擷取」登入要求，並出現一則確認訊息。
在確認訊息中，按一下確定

瀏覽器會關閉，並開啟成功登入偵測視窗。這是用來說明登入回應。請參閱說明應用程式的登入回應