主页
配置
您可以選擇最佳描述您的應用程式的設定以及所需的測試類型，來配置掃描。
檢視
錯誤頁面
透過新增字串或正規表示式來強化應用程式的錯誤頁面識別，使 AppScan® 能夠辨識回應內容、路徑或兩者的錯誤頁面。如此可確保 AppScan 能夠有效辨識和處理錯誤頁面，從而提高安全掃描的整體準確性。

歡迎使用
歡迎使用 HCL AppScan Standard 版本 10.5.0 的說明文件
入門
這一節提供基本產品特性和程序的簡短瀏覽，包括使用精靈來設定掃描。
配置
您可以選擇最佳描述您的應用程式的設定以及所需的測試類型，來配置掃描。
- 預設
  「預設」提供特定掃描類型所需的主要配置視圖。
- 檢視
  - 起始 URL 和網域
    配置掃描的「起始 URL」，以及要併入的任何其他伺服器和網域。
  - API
    若要掃描 Web API，請定義 API 類型（更妥善地配置自訂參數來改進涵蓋面）、探索方法以及要測試的網域。
  - 排除路徑和檔案
    您可以配置 AppScan 來忽略應用程式中的特定路徑，或忽略特定類型的檔案。
  - 多步驟作業
    記錄和管理要到達應用程式特定部分所需的多步驟作業，而這些部分可能遺漏。
  - 登入管理
    顯示 AppScan® 如何登入您的應用程式。
  - 多因子鑑別 (MFA)
    配置 AppScan® 以在登入時使用一次性密碼或安全性問題（多重因素驗證）。
  - HTTP 鑑別
    視應用程式需要，新增伺服器層級的鑑別和用戶端憑證。
  - AWS 授權
    配置 AWS 設定。
  - 通訊和 Proxy
    設定通訊逾時及 Proxy 伺服器設定。
  - 參數、Cookie 和標頭
    識別階段作業 ID，並列出要從掃描中排除的參數。
  - 自動表單填入
    請將有效的參數值提供給 AppScan®，以便在掃描期間填入應用程式中的表單。
  - 錯誤頁面
    透過新增字串或正規表示式來強化應用程式的錯誤頁面識別，使 AppScan® 能夠辨識回應內容、路徑或兩者的錯誤頁面。如此可確保 AppScan 能夠有效辨識和處理錯誤頁面，從而提高安全掃描的整體準確性。
    - 新增錯誤頁面
    - 設定錯誤頁面
      您可以將「探索」結果中列出的頁面設為錯誤頁面。
    - 套用錯誤頁面變更
  - 探索選項
    定義 AppScan 將用來探索應用程式的探索方法（動作型、要求型或兩者），以及其他基本和進階探索設定。
  - 測試原則和最佳化
    定義將在測試期間傳送至應用程式的測試集合（測試原則），在速度對您而言比掃描深度更為重要時，在產品生命週期中偶爾套用最佳化以進行更快速的掃描。
  - 環境定義
    環境定義並非必要，不過，在掃描期間，它可讓 AppScan® 安全地免於傳送無關的測試，使掃描更快、更準確。自訂 CVSS 3.1 環境評分將會改善掃描結果的精確度。
  - 測試選項
    其他測試選項。
  - 專用權升級
    比較使用不同使用者專用權的掃描，以探索非特許使用者是否可以存取特許資源。
  - 內容型視圖
    可讓您定義應用程式樹狀結構的邏輯結構，以防 URL 型樹狀結構只是一或兩個 URL 下的長清單。這不是要點，但可讓結果更容易導覽。
  - 進階配置
    此視圖可讓您存取許多進階登錄設定，且只應由有經驗的 AppScan 使用者使用，或在支援團隊指示您時用以進行疑難排解。
- 使用 Postman 集合來掃描
  如果您對 Web API 有要求的 Postman 集合，可以匯入並用作掃描基礎。
- 掃描檔案結構
  說明 AppScan Standard SCAN 檔案的基本結構。
- 掃描範本
  掃描範本只是已儲存而可重複使用的掃描配置。
- 在掃描期間變更配置
手動探索
手動探索可讓您探索應用程式的特定部分，並且在探索時填寫欄位與表單。這個方式可以確定涵蓋網站的特定區域，且 AppScan 具有正確完成表單所需的資訊。
正在掃描
瞭解如何啟動掃描，以及掃描期間發生何種情況；如何手動操作「探索」階段，以及如何匯出掃描結果。
資料
在掃描的「探索」階段，資料視圖中會填入網站結構的相關資訊。
問題
「問題」視圖可讓您存取掃描結果。您可以檢視高階結果，也可以選取特定的測試或物件，存取更多詳細資料。這些詳細資料包括如何修正、要求/回應，以及問題產生的測試變式之間的差異。您可以操作問題的嚴重性、重新傳送測試（已修改或未修改），然後根據問題來建立報告。
報告
本節說明如何從掃描結果產生報告。
工具
本節說明如何使用 HCL AppScan Standard 所提供的其他工具。
Integrations
本節說明 AppScan Standard 與其他應用程式的整合：
最佳作法
本節包含部分適用於進階使用者的最佳實務及使用案例。
常見問題和疑難排解
CLI
本節說明透過指令行介面所能使用的語法和選項。
參照
功能表和工具列摘要，以及名詞解釋

錯誤頁面

透過新增字串或正規表示式來強化應用程式的錯誤頁面識別，使 AppScan® 能夠辨識回應內容、路徑或兩者的錯誤頁面。如此可確保 AppScan 能夠有效辨識和處理錯誤頁面，從而提高安全掃描的整體準確性。

當 AppScan® 遇到回應測試的 404 錯誤頁面時，通常會將測試標記為失敗。原因在於 404 回應表明該網站已正確識別該要求為無效。然而，在某些情況下，相反的情況會保留為 True，錯誤頁面指示結果成功。在這兩種情況下，精確定義錯誤頁面相當重要，如此 AppScan 方能正確辨識錯誤頁面。

Web 應用程式和伺服器通常使用自訂及動態產生的 404 錯誤頁面，難以自動辨識。雖然 AppScan 嘗試辨識自訂的 404 錯誤頁面，但仍可能存在無法辨識的情況。如果 AppScan 遇到錯誤頁面且無法辨識，則當結果應該為無侵害攻擊時，可能會誤登錄為有侵害攻擊，反之亦然。依預設，錯誤頁面清單包含標準錯誤頁面定義，每個定義都顯示位置和值。

如果應用程式的錯誤頁面不在這份清單的定義範圍內，您應該新增必要的字串和正規表示式，使 AppScan® 能夠辨識回應內容、路徑或兩者的錯誤頁面。如此一來，您便可以減少掃描結果中「誤判」的數目。有兩種方法可讓您執行此動作：

您可以在掃描之前，手動定義錯誤頁面。請參閱新增錯誤頁面
如果已完成「探索」階段，您可以將探索到的 URL 設定為錯誤頁面。請參閱設定錯誤頁面

重要：不正確的錯誤頁面定義可能會導致「誤判」和「假性無侵害攻擊」結果。因此，在掃描「測試」階段之後新增或刪除錯誤頁面時，必須更新掃描結果。

對於先前定義指出測試成功的測試，按一下將變更套用至現行結果可以更新結果
對於先前定義指出測試失敗的測試，您必須重新測試。

透過嚴格遵循這些步驟，您可以提高掃描結果的準確性，並儘量減少誤導資訊的影響。

另請參閱：

套用錯誤頁面變更