欢迎
欢迎使用 HCL AppScan Standard 版本 10.0.7 文档。
本部分提供有关基本产品功能和过程的简短浏览,包括使用向导设置扫描。
新增功能
本部分介绍此版本中的新增AppScan Standard产品功能和增强功能,以及相关弃用和预期变更。
系统要求:
运行 的机器AppScan Standard所需的最低硬件和软件的摘要。
正在安装
安装向导用于指导您完成这一快速而简单的过程。
许可证
本部分介绍 AppScan Standard 的试用版和付费版。
自动扫描如何运作
本主题说明扫描的“阶段”和“过程”之间的区别。
Web 应用程序与 Web 服务
本主题说明了在 AppScan 测试站点之前可用于探索站点的不同方法。
基本工作流程
此图显示了使用扫描配置向导的简单 AppScan 工作流程。
主屏
描述装入 AppScan 时打开的主屏幕中可用的选项。
主屏幕导览
描述 AppScan 主屏幕(“问题”视图)的组件以及所有菜单和工具栏。
教程
这一简单教程涉及以下步骤:使用“扫描配置”向导配置简单的应用程序扫描、运行扫描和复审扫描结果。
样本扫描
样本扫描可帮助您感受 AppScan 的用法以及扫描结果的内容。
可通过选择能最好地描述应用程序的设置来配置扫描(您想要的测试类型)。
手动探索使您能够探索应用程序的特定部分,并且随之填写字段和表单。可以通过此方法来确保覆盖了站点的特定区域,并且 AppScan 具有正确填写表单所需的信息。
使用浏览器
对于 Web 应用程序,通常可以使用内置的 Chromium 浏览器进行手动探索。必要时,可以使用内置的 IE vbrowser 或外部浏览器。
使用外部客户机
您可以使用移动电话、模拟器或仿真器手动探索 RESTful 或其他非 SOAP Web 服务,或者不需要安全包络的 SOAP 服务。AppScan 在其“外部流量记录器”中显示域和请求,并使用输入来创建相应的测试。
了解如何启动扫描,扫描期间进行的操作;如何手动处理“探索”阶段,以及如何导出扫描结果。
在扫描的“探索”阶段,“数据”视图将填充有关站点结构的信息。
“问题”视图提供了对扫描结果的访问。您可以在高级别查看结果,或者选择特定测试或对象并访问更多详细信息。这些详细信息包括:如何修复、请求/响应,以及引发问题的测试变体之间的差异。您可以控制问题的严重性,重新发送测试(可修改可不修改),并基于“问题”创建报告。
本节描述如何通过扫描结果生成报告。
安全报告
“安全报告”会提供所发现的关于安全问题的信息,而且您可以根据所需的内容类型从各种模板中进行选择。
行业标准和一致性报告
“行业标准”报告让您知道您的应用程序是否与所选定的行业委员会标准一致;“合规性”报告会让您知道您的应用程序是否与特定规定或法律标准一致。
增量分析报告
“增量分析”报告会比较两组扫描结果,并会显示在这两组结果中发现的 URL 和/或安全问题差异。
基于模板的报告
“创建报告”对话框的“基于模板”选项卡使您可以创建 Microsoft® Word DOC 和 DOCX 格式的报告,并且严格采用您想要的数据和由您定义的文档格式。
本节说明如何使用 HCL AppScan Standard 随附的其他工具。
“选项”对话框
本部分描述了您能够控制的选项,以从工具 > 选项中的“选项”对话框定制 AppScan 。
Web 服务向导扩展
此扩展允许您使用 Open API 描述文件进行扫描。可通过“工具 > 扩展 > Web 服务向导 (Open API)”使用,缺省情况下已启动扩展。
PowerTool
AppScan 提供对五个实用程序 (PowerTool) 的访问权,每个实用程序均提供特定功能来帮助您管理应用程序安全,或帮助您使用 AppScan。
日志
日志可帮助您进行故障诊断。
搜索结果
您可以对任何视图中的“结果列表”进行过滤以得到特定数据。
本节描述了其他应用程序与 AppScan Standard 的集成:
AppScan Enterprise
本节描述 AppScan Standard 和 Enterprise 这两个版本的交互方式。
AppScan on Cloud
本节描述了 AppScan Standard 与 HCL AppScan on Cloud 交互(以扫描云中的应用)时可以采取的方法。
自动化框架
可使用为 QA 自动化框架(例如 Selenium)编写的脚本来创建 AppScan 扫描的“手动探索”记录。
本节包含针对高级用户的最佳做法和用例以及一些常见问题。
高级用户的工作流程
对于具有 Web 安全性经验的用户,此工作流程可帮助他们执行更为彻底的扫描。
使用基于参数的导航的站点
使用单个 URL 访问其中所有页面的站点需要特定扫描配置。
扫描实时生产环境
通过 AppScan 扫描实时站点之前应考虑以下风险和建议。
了解测试优化
本部分介绍测试优化的工作原理,以及如何最好地将其纳入开发生命周期。
常见问题及解答
此主题处理常规应用程序问题。
登录故障诊断
关于对“扫描配置 > 登录管理”视图中的会话监测问题进行故障诊断的提示。
会话外故障诊断
对会话外问题进行故障诊断的一些建议。
服务器无响应
有关服务器未响应时进行故障诊断的一些建议。
外部流量记录器未进行记录
如果您的外部设备配置正确,AppScan 的外部登录记录器和外部流量记录器将在您从设备发送流量显示相应流量。如果配置不正确,此部分将提供相关建议。
长期或无休止"探索"阶段
对于某些类型的站点,“探索”阶段可能需要较长时间或不会结束。
多步骤操作故障诊断
用于对基于操作的多步骤操作进行故障诊断的某些建议。
替换未签名的扩展
如果要使用与 AppScan 的先前版本配合使用的未签名的扩展,那么可以选择信任该扩展,或者查看是否提供已签名的扩展来将其替换。
扩展支持方式
扩展支持方式记录所有 AppScan 活动,以供打包并发送给支持提供商,从而帮助您对有问题的过程进行故障诊断。
更改缺省浏览器
您可以将 AppScan 配置为使用其内置浏览器之外的浏览器。
日志
此部分包含关于“扫描日志”消息(查看 > 扫描日志)的说明。
本部分描述了使用命令行界面时可用的语法和选项。
菜单和工具栏摘要,以及词汇表