错误页面
通过添加字符串或正则表达式,以便 AppScan® 能够识别响应内容和/或路径中的错误页面,增强您应用程序的错误页面识别。这可确保 AppScan 能够有效识别和处理您的错误页面,从而提高安全性扫描的整体准确性。
当 AppScan® 在响应测试时遇到 404 错误页面时,通常会将测试标记为失败。这是因为 404 响应表明该站点已正确将请求识别为非法。但是,在某些情况下,情况恰好相反,并且错误页面指示成功结果。在这两种场景中,准确定义错误页面非常重要,以便 AppScan 能够相应识别这些错误页面。
Web 应用程序和服务器通常使用自动识别可能会有挑战性的定制或动态生成的 404 错误页面。当 AppScan 尝试识别定制 404 错误页面时,可能会出现无法识别的情况。如果 AppScan 遇到错误页面并且无法识别这些错误页面,它可能会错误地将结果注册为正,而该结果应该是负的,反之亦然。缺省情况下,“错误页面”列表包含标准错误页面定义,每个定义都显示位置和值。
如果此列表中的定义未涵盖您应用程序的错误页面,那么应当添加必要的字符串或正则表达式,从而让 AppScan® 可以在响应内容和/或路径中识别您的错误页面。通过执行此操作,可以减少扫描结果中“假阳性”的数量。有两种方法可以做到这一点:
重要: 错误的错误页面定义可能会导致“假阳性”和“漏报”结果。因此,当您在扫描的“测试”阶段之后添加或删除错误页面时,必须更新扫描结果。
- 对于先前的定义指示测试成功的测试,请单击将更改应用于当前结果来更新结果
- 对于先前的定义指示测试失败的测试,必须重新测试。
另请参阅: