一次性密码 (OTP) 视图
将 AppScan® 配置为在登录时使用 OTP(一种多因素认证 (MFA))。
如果应用程序使用 OTP,请选择两个选项中的一个,否则保留缺省设置:无。
记录登录过程时,AppScan 会从流量中抽取相关参数,并将其添加到 OTP HTTP 参数列表中。这些参数还将被添加到“自动表单填充”视图中的 OTP 条目中。如果 AppScan 未能识别这些参数,那么您必须在此视图或“自动表单填充”视图中自己添加这些参数。
Limitations:
- 每个扫描仅支持一个 OTP 类型(TOTP 或 URL 生成的 OTP)。
- 对于 TOTP,仅支持数值。
- 仅当使用 Chromium 浏览器记录登录时,才支持 OTP。如果使用 Internet Explorer,则不支持 OTP。
要观看简短视频演示,请单击以下图标:
| 选项 | 描述 |
|---|---|
|
TOTP |
对于基于时间的一次性密码,您必须向 AppScan 提供:
提示: AppScan 机器和测试服务器上的时间都必须准确。 |
|
URL 生成的 OTP |
如果可以从指定 URL 访问 OTP,那么可以将 AppScan 配置为从 URL 响应中抽取 OTP。您必须向 AppScan 提供:
|
|
无 |
站点不使用 OTP,或者不需要扫描那些使用 OTP 的页面。 |
| 详细信息 | |
|
OTP HTTP 参数 |
如果已选择其中一种 OTP 类型,那么在记录并验证记录的登录过程时,AppScan® 将从流量中识别 OTP 名称或元素 ID,并将其添加到自动表单填充列表中。它也将显示在此处。 如果 AppScan® 未能识别该参数,或者您使用自动登录,那么您必须在此处手动添加该参数。如果有多个参数,则必须用逗号分隔这些参数。请参阅下面的部分,以了解详细信息。 |
如何识别 OTP HTTP 参数
AppScan 需要知道包含 OTP 的参数的名称(以便能够登录到应用程序),并且通常在验证记录登录过程时识别该参数。如果其未能识别该参数,或者您使用自动登录,那么您必须手动添加该参数。
要识别参数,请执行以下操作:
- 打开浏览器并转到应用程序的登录页面。
- 单击 F12 打开浏览器的开发人员工具窗格(在主浏览器窗格的右侧或下方打开)。
- 单击“元素”选项卡以查看 HTML 代码。
当您选择代码的一部分时,该元素会在主浏览器窗格中突出显示。
- 找到突出显示 OTP 字段的元素。示例:
<input type="text" name="OTPvalue" value=""> - name 参数的值(不带引号)就是您需要的 OTP HTTP 参数。示例:
OTPvalue - 如果有多个 OTP HTTP 参数,请用逗号分隔这些参数。