使用外部客户机记录登录

开始之前

当您使用外部客户机将请求发送到应用程序时,不需要“起始 URL”,但是在探索阶段完成后,AppScan 将为其自身定义“起始 URL”。

关于此任务

通过使用外部浏览器记录登录,可以让 AppScan® 知道发送哪个请求或哪些请求,以便它可以在扫描期间登录。在记录后,AppScan 会识别可在将来用于验证其是否仍已登录的会话中模式。

在扫描期间,AppScan 必须随时知道它是登录还是退出站点,以便正确评估站点的响应。在扫描期间,AppScan 会重复发送会话中检测请求,并且检查响应是否包含“会话中检测模式”,以验证其是否仍然处于已登录状态。如果 AppScan 在页面的响应中未找到该模式,那么 AppScan 会认为其已退出,并会通过重放登录序列来尝试重新登录。由此可知,在扫描期间,登录序列通常会被播放许多次。因此,登录序列最好包含尽可能少的步骤。如果会话中页面是一个小页面,并且不包含被跟踪的参数或 Cookie,那么也会很有帮助,因为这些也可能会显著延长扫描时间。

要记录登录,请执行以下操作:

过程

  1. 扫描配置 > 登录管理 >“登录”选项卡中,选择已记录单选按钮。
  2. 单击红色“记录”按钮> 外部客户机>,然后选择将用于登录的客户机。
    选项描述
    Postman AppScan® 将打开并自动配置 Postman,使其在将 AppScan® 作为记录代理(IP 和端口)的情况下工作。然后 AppScan® 将打开其流量记录器,以记录您从 Postman 发送的请求。
    SoapUI AppScan® 将打开并自动配置 SoapUI,使其在将 AppScan® 作为记录代理(IP 和端口)的情况下工作。然后 AppScan® 将打开其流量记录器,以记录您从 SoapUI 发送的请求。
    注: 所做配置更改会影响在会话期间打开的任何其他实例。因此,建议您在开始操作前关闭所有已打开的实例,并且在记录期间不要打开任何实例。当您关闭 AppScan 时,SoapUI 也将关闭,并且已更改的设置会恢复为之前的状态。
    对于 SSL,请参阅 为 SoapUI 采用 SSL
    其他 如果要使用的客户机安装在另一台计算机上,或者您在与 AppScan® 相同的计算机上使用 Postman 或 SoapUI 以外的客户机,请选择此选项。系统将要求您手动打开和配置客户机,以将 AppScan 用作代理。

    对于 SSL,请参阅 为其他外部客户机采用 SSL

    AppScan 的外部登录记录器将打开,并记录您从客户机发送到 Web 服务的请求。有关详细信息,请参阅外部登录记录器

    如果已选择 Postman 或 SoapUI,则它将打开并配置为将 AppScan 用作记录代理。
    注: 仅当与 AppScan 安装在同一台计算机上时,AppScan 才能自动配置 Postman 或 SoapUI,否则,您必须选择“其他”,然后在下一步中自行配置客户机。
    注: 如果使用 SSL,您也必须遵循下列步骤:为 SoapUI 采用 SSL
  3. 如果已选择外部客户机 > 其他,请打开您的客户机,并将其配置为使用在流量记录器顶部显示的端口和 IP。如果客户机与 AppScan 在同一台计算机上,请使用所显示的“本地 IP”,否则,请使用“远程 IP”。
    注: 如果使用 SSL,您也必须遵循下列步骤:为其他外部客户机采用 SSL
  4. 从您的客户机中,发送在以有效用户身份登录站点时所需的任何请求。登录后,发送一个附加请求,该请求只能由登录用户发送。
    重要:
    • 对于 Web API,必须在登录后发送附加请求,这样 AppScan 才能识别会话中模式。
    • 验证登录记录器中是否显示了您已发送的流量。如果没有显示,请参阅流量记录器故障诊断
  5. 在登录记录器中,单击停止记录,然后单击保存以关闭。

    AppScan® 会尝试从您的登录请求中提取登录信息,以在扫描期间使用。

    “会话信息”对话框将打开(其中显示您记录的登录请求),并且灰色钥匙图标将变成绿色钥匙图标(指示会话中检测处于活动状态)。
    注: 如果钥匙图标变为红色红色钥匙图标,那么 AppScan® 已尝试但无法在会话中页面内识别任何可在扫描期间用于验证其是否没有注销的模式。如果发生这种情况,您需要识别 AppScan® 的“会话中模式”,请参阅“选择检测模式”对话框以获取详细信息。在某些情况下,可能会出现更为具体的消息,并带有一个链接,指向本帮助中用于对该问题进行故障诊断的页面,请参阅登录故障诊断
  6. 要对已记录的序列作出更改(例如,移除不必要的步骤),请参阅登录回放
    提示: 一般而言,用于使用户登录的 URL(并且其响应是首个包含会话中模式的响应)应该是标记为“会话中”的 URL。但是,有时您可能想要选择其后的 URL(该 URL 也包含会话中模式,但优势在于页面更小或者不包含被跟踪的参数或 Cookie)。此外,有时候具有用户凭证的 POST 请求是使您登录并最先包含会话中模式的请求,而这对于会话中页面是糟糕的选择,因为会话中检查每次都会发送凭证,从而导致会话响应中出现误报。请参阅优化会话中检测
  7. 要保存新的登录序列,请单击确定
    提示: 如果确定会话中页面不包含被跟踪参数或 Cookie,可以通过将高级配置 > 会话管理:解析会话中页面设置更改为“False”来提高扫描性能。请参阅高级配置
    Limitation: 不支持需要用户在场的认证方法,例如带有提示用户的 OAuth2。但是,您可以将 OAuth2 与使用刷新令牌(也称为服务令牌)的脱机授权类型结合使用。

下一步做什么

相关主题:

流量记录器故障诊断

为 SoapUI 采用 SSL

手动探索

多步骤操作