跳转到主要内容
歡迎使用
歡迎使用 HCL AppScan Standard 版本 10.2.0 的說明文件
入門
這一節提供基本產品特性和程序的簡短瀏覽,包括使用精靈來設定掃描。
概觀
新增功能
本節說明此版本中的新AppScan Standard產品功能和加強功能,以及相關的淘汰和預期變更。
系統需求
機器執行AppScan Standard的最低軟硬體需求摘要。
正在安裝
安裝精靈會引導您完成快速簡單的程序。
授權
本節說明 AppScan Standard 的試用版和付費版。
自動掃描的運作方式
本主題說明掃描的「階段」和「回合」之間的差異。
Web 應用程式與 Web API
這個主題說明在 AppScan 測試網站之前,可用來探索網站的不同方法。
基本工作流程
這個圖表顯示使用掃描配置精靈的簡式 AppScan 工作流程。
主畫面
說明您載入 AppScan 時所開啟的主畫面可用的選項。
導覽主畫面
說明 AppScan 主畫面(議題檢視)的元件,以及所有功能表和工具列。
指導教學
這個簡易指導教學所進行的步驟,包括利用「掃描配置」精靈來配置簡易應用程式掃描、執行掃描,以及檢閱結果。
範例檔
範例檔可以協助您體驗 AppScan 的用法及可能的掃描結果。
配置
您可以選擇最佳描述您的應用程式的設定以及所需的測試類型,來配置掃描。
預設
「預設」提供特定掃描類型所需的主要配置視圖。
視圖
使用 Postman 集合來掃描
如果您對 Web API 有要求的 Postman 集合,可以匯入並用作掃描基礎。
增量掃描精靈
列出這個精靈的步驟。
掃描檔案結構
說明 AppScan Standard SCAN 檔案的基本結構。
掃描範本
掃描範本只是已儲存而可重複使用的掃描配置。
在掃描期間變更配置
手動探索
手動探索可讓您探索應用程式的特定部分,並且在探索時填寫欄位與表單。這個方式可以確定涵蓋網站的特定區域,且 AppScan 具有正確完成表單所需的資訊。
使用瀏覽器
針對 Web 應用程式,您通常可以使用內建 Chromium 瀏覽器來進行手動探索。必要時可以使用內建 IE 瀏覽器或外部瀏覽器。
使用外部用戶端
您可以使用行動電話、模擬器或仿真器,來手動探索 RESTful 或其他非 SOAP Web API,或是不需要安全封套的 SOAP API。AppScan 會在其「外部資料流量記錄器」中顯示網域和要求,並且從輸入建立適當的測試。
正在掃描
瞭解如何啟動掃描,以及掃描期間發生何種情況;如何手動操作「探索」階段,以及如何匯出掃描結果。
資料
在掃描的「探索」階段,資料視圖中會填入網站結構的相關資訊。
問題
「問題」視圖可讓您存取掃描結果。您可以檢視高階結果,也可以選取特定的測試或物件,存取更多詳細資料。這些詳細資料包括如何修正、要求/回應,以及問題產生的測試變式之間的差異。您可以操作問題的嚴重性、重新傳送測試(已修改或未修改),然後根據問題來建立報告。
報告
本節說明如何從掃描結果產生報告。
報告概觀
安全報告
「安全報告」提供所發現之安全問題的其他資訊,同時您可以根據您需要的內容類型選擇各式各樣的範本。
業界標準和相符性報告
「業界標準」報告可讓您知道您的應用程式是否符合所選業界委員會的標準;「合規性」報告可讓您知道您的應用程式是否符合特定的法規或法律標準。
差異分析報告
「差異分析」報告會比較兩組掃描結果,顯示其中所發現之 URL 及/或安全問題的差異。
以範本為基礎的報告
「建立報告」對話框的「範本型」標籤,可讓您以 Microsoft® Word DOC 和 DOCX 格式建立報告,其中包含完全符合您需求的資料,以及您定義的文件格式。
工具
本節說明如何使用 HCL AppScan Standard 所提供的其他工具。
「選項」對話框
本節會說明您可以從「工具 > 選項」中的「選項」對話框中,控制以自訂 AppScan 的選項。
Web API 精靈延伸
此延伸可讓您使用 Open API 說明檔進行掃描。可以從工具 > 延伸 > Web 服務精靈 (Open API) 取得,延伸預設為啟用。
掃描排程器
使用者定義測試
PowerTool
AppScan 提供五個公用程式的存取權 (PowerTools),每個公用程式都提供特定的特性來協助您管理應用程式安全,或協助您使用 AppScan。
自訂工具功能表
延伸
日誌
日誌可協助您進行疑難排解。
搜尋結果
您可以過濾任何視圖中的「結果清單」,來尋找特定資料。
整合
本節說明 AppScan Standard 與其他應用程式的整合:
AppScan 企業
本節說明 AppScan Standard Edition 和 Enterprise Edition 可互動的方法。
AppScan on Cloud
本節說明 AppScan Standard 可以與 HCL AppScan on Cloud 互動以掃描雲端上的應用程式的方式。
自動化架構
您可使用針對您的 QA 自動化架構所撰寫的 Script(例如 Selenium)來建立 AppScan 掃描的「手動探索」記錄。
最佳作法
本節包含部分適用於進階使用者的最佳實務及使用案例。
進階使用者的工作流程
此工作流程可協助具備 Web 安全領域經驗的使用者達成更徹底的掃描。
使用以參數為基礎的導覽網站
使用單一 URL 呼叫到其所有頁面的網站,需要特定的掃描配置。
掃描現用正式作業環境
在以 AppScan 掃描現用網站之前,應考量下列風險及建議。
瞭解測試最佳化
本節說明「測試最佳化」如何運作,以及如何最妥善地併入您的開發生命週期。
一般常見問題
這個主題處理一般應用程式問題。
疑難排解工具
數位簽章疑難排解
外部資料流量記錄器未記錄
如果外部裝置的配置正確無誤,AppScan 的外部登入記錄器和外部資料流量記錄器會在您傳送時顯示從裝置傳送的資料流量。此區段提供未顯示時的建議。
磁碟空間不足
授權疑難排解
登入疑難排解
在「掃描配置 > 登入管理」視圖中,對階段作業偵測問題進行疑難排解的提示。
虛擬記憶體不足
多步驟作業疑難排解
疑難排解動作型多步驟作業的一些建議事項。
找不到 URL
階段作業外疑難排解
對階段作業外問題進行疑難排解的一些建議。
Postman 集合掃描
針對「Postman 集合」掃描進行疑難排解的一些建議。
伺服器沒有回應
如果伺服器沒有回應,則有一些疑難排解的建議。
取代未簽章的延伸
如果要使用舊版 AppScan 所用的未簽章延伸,您可以選擇信任它,或是查看是否有提供簽章的版本可以取代它。
延伸支援模式
「延伸支援模式」會記載所有的 AppScan 活動,以包裝並傳送至您的支援提供者,協助疑難排解有問題的程序。
變更預設瀏覽器
您可以將 AppScan 配置成使用其內建瀏覽器以外的瀏覽器。
報告誤判結果
日誌
此區段包括「掃描日誌」訊息的說明(「檢視」>「掃描日誌」)。
CLI
本節說明透過指令行介面所能使用的語法和選項。
參照
功能表和工具列摘要,以及名詞解釋
功能表列
瀏覽器工具列
在內嵌的 AppScan® 瀏覽器中,工具列的圖示用來顯示及儲存應用程式的回應畫面。
鍵盤快速鍵
AppScan 提供這些鍵盤快速鍵。
協助工具控制項
說明所有鍵盤快速鍵和控制項。
暫存檔案
說明在正常作業期間,AppScan® 將暫存檔儲存在哪裡,以及如何變更位置。
名詞解釋
本名詞解釋說明 AppScan® Standard 使用者介面和說明文件中所用的術語和字首語。
相符性
CWE 支援
CWE(常見弱點列舉)是一份業界標準清單,提供常見軟體弱點的一般名稱。現行版本的 AppScan Standard 支援下列 CWE ID 及其母項或子項 ID。
注意事項