主页
配置
可通过选择能最好地描述应用程序的设置来配置扫描（您想要的测试类型）。
视图
错误页面
通过添加字符串或正则表达式，以便 AppScan® 能够识别响应内容和/或路径中的错误页面，增强您应用程序的错误页面识别。这可确保 AppScan 能够有效识别和处理您的错误页面，从而提高安全性扫描的整体准确性。

欢迎
欢迎使用 HCL AppScan Standard 版本 10.5.0 文档。
入门
本部分提供有关基本产品功能和过程的简短浏览，包括使用向导设置扫描。
配置
可通过选择能最好地描述应用程序的设置来配置扫描（您想要的测试类型）。
- 预设
  预设为您提供特定类型扫描所需的主要配置视图。
- 视图
  - 起始 URL 和域
    配置扫描的起始 URL 以及要包含的任何其他服务器和域。
  - API
    对于扫描 Web API，定义 API 类型（通过更好地配置定制参数来提高覆盖范围）、探索方法和要测试的域。
  - 排除路径和文件
    您可以配置 AppScan 以忽略应用程序中的某些路径或文件的特定类型。
  - 多步骤操作
    记录并管理到达应用程序中可能遗漏的特定部分所需的多步骤操作。
  - 登录管理
    显示 AppScan® 如何登录到应用程序。
  - 多因素认证 (MFA)
    将 AppScan® 配置为在登录时使用一次性密码或安全性问题（多因素身份验证）。
  - HTTP 认证
    如果应用程序需要，请添加服务器级别认证和客户机端证书。
  - AWS 授权
    配置 AWS 设置。
  - 通信和代理
    配置通信超时和代理服务器设置。
  - 参数、Cookie 和头
    识别会话标识并列出要从扫描中排除的参数。
  - 自动表单填充
    为 AppScan® 提供用于在扫描期间填充应用程序中表单的有效参数值。
  - 错误页面
    通过添加字符串或正则表达式，以便 AppScan® 能够识别响应内容和/或路径中的错误页面，增强您应用程序的错误页面识别。这可确保 AppScan 能够有效识别和处理您的错误页面，从而提高安全性扫描的整体准确性。
    - 添加错误页面
    - 设置错误页面
      您可以将探索结果中所列的页面设置为错误页面。
    - 应用错误页面更改
  - 探索选项
    定义 AppScan 将用于探索应用程序的探索方法（基于操作和/或基于请求）以及其他基本和高级探索设置。
  - 测试策略和优化
    定义将在测试期间发送到应用程序的测试集合（测试策略），并在对您来说速度比扫描深度更重要时，有时在产品生命周期中应用优化以加快扫描速度。
  - 环境定义
    环境定义并不重要，但是可以使 AppScan® 在扫描期间以安全的方式避免发送无关测试，使得扫描更加迅速和精确。定制 CVSS 3.1 环境评分可提高扫描结果的准确性。
  - 测试选项
    其他测试选项。
  - 特权升级
    比较使用不同用户特权的扫描，以发现非特权用户是否可访问特权资源。
  - 基于内容的视图
    允许您为应用程序树定义逻辑结构，适用于基于 URL 的树只是一个或两个 URL 下的长列表的情况。这并非必需，但是可使您更容易地浏览结果。
  - 高级配置
    此视图可用于访问许多高级注册表设置，并且仅应由有经验的 AppScan 用户使用，或者在支持团队的指导下对问题进行故障诊断时使用。
- 使用 Postman 集合扫描
  如果您有针对 Web API 的请求的 Postman 集合，那么您可以将其导入并用作扫描的基础。
- 扫描文件结构
  解释了 AppScan Standard SCAN 文件的基本结构。
- 扫描模板
  扫描模板只是已保存的扫描配置，以便您能够再次使用。
- 在扫描期间更改配置
手动探索
手动探索使您能够探索应用程序的特定部分，并且随之填写字段和表单。可以通过此方法来确保覆盖了站点的特定区域，并且 AppScan 具有正确填写表单所需的信息。
扫描
了解如何启动扫描，扫描期间进行的操作；如何手动处理“探索”阶段，以及如何导出扫描结果。
数据
在扫描的“探索”阶段，“数据”视图将填充有关站点结构的信息。
问题
“问题”视图提供了对扫描结果的访问。您可以在高级别查看结果，或者选择特定测试或对象并访问更多详细信息。这些详细信息包括：如何修复、请求/响应，以及引发问题的测试变体之间的差异。您可以控制问题的严重性，重新发送测试（可修改可不修改），并基于“问题”创建报告。
报告
本节描述如何通过扫描结果生成报告。
工具
本节说明如何使用 HCL AppScan Standard 随附的其他工具。
Integrations
本节描述了其他应用程序与 AppScan Standard 的集成：
最佳实践
本节包含针对高级用户的最佳做法和用例以及一些常见问题。
FAQ 和故障诊断
CLI
本部分描述了使用命令行界面时可用的语法和选项。
引用
菜单和工具栏摘要，以及词汇表

错误页面

通过添加字符串或正则表达式，以便 AppScan® 能够识别响应内容和/或路径中的错误页面，增强您应用程序的错误页面识别。这可确保 AppScan 能够有效识别和处理您的错误页面，从而提高安全性扫描的整体准确性。

当 AppScan® 在响应测试时遇到 404 错误页面时，通常会将测试标记为失败。这是因为 404 响应表明该站点已正确将请求识别为非法。但是，在某些情况下，情况恰好相反，并且错误页面指示成功结果。在这两种场景中，准确定义错误页面非常重要，以便 AppScan 能够相应识别这些错误页面。

Web 应用程序和服务器通常使用自动识别可能会有挑战性的定制或动态生成的 404 错误页面。当 AppScan 尝试识别定制 404 错误页面时，可能会出现无法识别的情况。如果 AppScan 遇到错误页面并且无法识别这些错误页面，它可能会错误地将结果注册为正，而该结果应该是负的，反之亦然。缺省情况下，“错误页面”列表包含标准错误页面定义，每个定义都显示位置和值。

如果此列表中的定义未涵盖您应用程序的错误页面，那么应当添加必要的字符串或正则表达式，从而让 AppScan® 可以在响应内容和/或路径中识别您的错误页面。通过执行此操作，可以减少扫描结果中“假阳性”的数量。有两种方法可以做到这一点：

您可以在扫描之前手动定义错误页面。查看添加错误页面
如果您已完成“探索”阶段，那么可以设置已发现为错误页面的 URL。查看设置错误页面

重要：错误的错误页面定义可能会导致“假阳性”和“漏报”结果。因此，当您在扫描的“测试”阶段之后添加或删除错误页面时，必须更新扫描结果。

对于先前的定义指示测试成功的测试，请单击将更改应用于当前结果来更新结果
对于先前的定义指示测试失败的测试，必须重新测试。

通过认真执行这些步骤，您可以提高扫描结果的准确性，并最大限度地减少误导信息的影响。

另请参阅：

应用错误页面更改