概觀

HCLAppScan Standard 是 HCL AppScan 應用程式安裝測試套組的滲透測試元件,用來測試 Web 應用程式和服務。它具備尖端的方法和技術,可以識別安全漏洞,避免應用程式遭受網路攻擊的威脅。

HCLAppScan Standard 是「動態分析」工具,使用與駭客使用的方法類似的技術,評估攻擊應用程式時之執行時期的應用程式安全。測試結果包括範圍從應用程式庫存到詳細攻擊資料流量的一組豐富資料,可以重新產生以進行驗證和修正。此資料可以在 UI 中檢查及處理,或者匯出為各種格式以便在其他工具中共用。

除了尖端的測試機能之外,AppScan 還包含其他功能,可協助您盡可能有效率地執行測試程式。部分功能如下:
  • 產生一般和合規性報告,有超過 40 種不同的現成範本可用
  • 自訂和延伸,可能是透過 AppScan eXtension Framework,或利用 AppScan SDK 而直接整合至現有的系統中。
  • 內建最佳化機制,主要針對應用程式中最有可能發生問題的部分,測試最容易發生的問題。

AppScan Standard 不但在網站部署之前,也在正式作業環境下持續地評估風險,都有助於降低 Web 應用程式攻擊和資料外洩的風險。

支援的技術

您的網站使用的部分技術可能會影響 AppScan 掃描網站的能力,而其他技術則完全不會影響。
  • AppScan 是「黑箱」(DAST) 工具,使用與瀏覽器相同的機制來掃描您的網站。因此,一般而言,對瀏覽器透通的伺服器端技術,對 AppScan 也會是透通的,不會影響掃描。
  • JavaScript 和 HTTP 通訊協定本身等的用戶端技術,的確會影響 AppScan。為了順利掃描,AppScan 會使用內嵌於產品的實際瀏覽器來處理網頁,如同商用瀏覽器所做一般。這可確保支援所有常用技術。偶爾可能需要其他配置,才能協助 AppScan 瞭解元素的環境定義,進行不只是瀏覽的適當處理,通常特別適用於掃描的「測試」階段。
  • 支援 WebSocket 登入錄製和登入播放。

AppScan 掃描由兩個階段組成:「探索」和「測試」。針對每個階段,下表提供一些準則,以瞭解哪些伺服器端和用戶端技術可能會影響掃描,以及哪些情況會需要進行配置。

伺服器端技術

用戶端技術

「探索」階段

不會影響用戶端的任何伺服器端技術(例如,使用特定資料庫)都不會影響掃描。

只要正確配置 AppScan ,影響用戶端的許多機制(例如,階段作業管理)就不會限制掃描。例如,Web 伺服器和應用程式伺服器會影響階段作業 ID 的管理方式,但 AppScan 必須能夠追蹤這些 ID。許多常見的階段作業 ID 都是預先定義的,而且 AppScan 可以自動偵測到,不需要其他的配置。不過,對於某些自訂機制還是需要其他的配置。

AppScan 特別支援 WebSphere Portal 自訂 URL。WSP 會將 URL 編碼成難以用其顯示內容來追蹤的格式。AppScan 會解碼 URL,讓它們可以被瞭解及調整。

AppScan 會使用完整的內嵌瀏覽器,並自動支援所有主要技術 (HTML5),包括許多熱門的 JavaScript 架構,例如 Angular、React 和 JQuery。

如果自動「探索」階段因為特定的技術而遺失頁面,在自動「探索」階段之後,「測試」階段之前,可以透過手動探索頁面的方式將這些頁面新增至掃描。

「測試」階段

AppScan 的設計是為了測試應用程式,而不是為了測試其支援技術,因此這些技術不影響測試。再次考量資料庫:AppScan 的「SQL 注入」測試的套組與使用的資料庫無關。它還提供針對第三方測試(「常見漏洞」測試)的特定測試。

使用內嵌瀏覽器來測試用戶端 JavaScript 漏洞。也會使用黑箱 (DAST) 方法來執行測試。瀏覽器環境會受到操控,而且 JavaScript 會依原狀執行以公開漏洞。AppScan 支援新式瀏覽器支援的所有執行方法。