常见问题与解答
一些常见问题。
常规
为何我的扫描失败或扫描状态更改为“正在审核”?为什么扫描“由扫描支持团队处理”?
DAST
测试优化:如果扫描速度更快,为什么我不应该总是使用测试优化?
ASoC 支持使用哪种 TLS 协议连接到 ASoC 服务?
SAST 和 SCA
常规
免费试用订阅有哪些限制?
- 摘要报告列出了发现的所有安全问题,但不包括详细信息和建议的补救任务。这些都包含在已付费订阅的完整报告中。
- 监管报告不可用。
- SAST 扫描结果未列出使用的开放式源代码库。
- 未启用专用站点扫描(扫描因特网上不可用的站点)。
- 一次只能运行一次扫描。
- 扫描总数限制为五次。
- 订阅将在 30 天后过期。
为何我的扫描“已排队”?
某些订阅会限制可同时运行的扫描数(并发扫描数)。如果在已在运行最大数量并发扫描时启动扫描,那么新扫描将排队。一旦订阅允许,已排队的扫描就会按启动顺序自动运行。请注意,可以排队的最大扫描数也取决于您的订阅。当队列已满时,将无法启动其他扫描。
无法编辑队列的顺序,需遵循扫描的启动顺序。
免费试用用户一次只能运行一个扫描,并且不能对扫描进行排队。
为何我的扫描失败或扫描状态更改为“正在审核”?为什么扫描“由扫描支持团队处理”?
如果 AppScan 360° 检测到在使用当前设置的情况下自动过程可能产生不良结果,则扫描状态将更改为正在审核我们的扫描支持团队将审核设置,并且可能修改设置以获得更好的扫描结果。此时您不需要提供输入,并且不得取消扫描,因为这将导致取消审核。一旦设置通过了审核(通常是在几小时内),扫描将恢复并完成。
- 登录凭证无效
- 登录需要第三次或其他异常登录过程
- 登录使用 CAPTCHA(不支持 CAPTCHA;如果登录使用 CAPTCHA,则必须将其禁用以进行扫描)
- 应用程序文件无效
- HTTP 认证凭证无效或缺失
- 服务器无响应或网关错误(AppScan 360° 发送许多请求,因此站点/应用程序必须处于稳定状态并且能够应付大量流量)
- IP 受阻(确保将 使用的 IPAppScan 360° 列入允许列表)
- 帐户锁定
- 结果需要手动验证
- 您选择的测试集不适合您的站点/应用程序
- 专用站点扫描:AppScan Presence 不活动
显然,如果您能够避免这些问题,则您的扫描更有可能自动快速完成。如果将 AppScan 360° 扫描合并到自动化过程中,这一点尤其重要,因此扫描时间将尽可能缩短。
如果扫描失败会发生什么情况?
- 不会对您的帐户收费。
- 如果诊断出扫描失败的原因,系统将通知您,以便您可以修复此问题。
我能检索到已删除扫描的扫描结果吗?
不能。单击废纸篓图标时,将从数据库删除结果。重新扫描后,我能检索到先前扫描的扫描结果吗?
不能。当您重新扫描应用程序时,将从数据库删除先前的结果。扫描需要多长时间才可完成?
根据应用程序大小和复杂性,完成扫描所需的时间从若干分钟到若干天不等。您可以选择在扫描完成时接收电子邮件。我的扫描似乎用时较长。扫描可能卡住了吗?
监视系统会检查扫描进度,以确保停止没有进展的扫描。如果扫描似乎仍在运行,则很可能确实在运行。如果我不删除扫描,这些扫描会在数据库中保存多长时间?
出于故障诊断的目的,用户上载的文件(如 APK、IPA、IRX、SCAN 和 SCANT)在服务中高速缓存的时间长达 60 天。除非用户删除扫描结果或者帐户被删除,否则扫描结果永久存储在服务中。AppScan 360° 使用哪个 IP?
请参阅系统要求
AppScan 360° 测试哪些方面的安全问题?
| DAST | SAST | IAST |
|---|---|---|
|
|
|
为何应用程序的风险分级为“未知”?
- 发现的问题(由 AppScan 360° 发现)
- 业务影响(由用户指定)
DAST
为什么我不能再指定要暂存或生产的环境?
- 在浏览 > 自动表单填充中,清除复选框以禁用此选项。
- 在通信 > 最大请求速率中,对于大多数生产站点,缺省值应为正常,但您可以考虑减少每秒允许的最大请求数,以减少发送到站点的流量。
有关更多详细信息和建议,请参阅下一部分。
我在扫描实时生产站点时应该进行哪些更改?
如果可能,建议在暂存而不是生产站点上运行 DAST 扫描。在实时生产站点运行 DAST 扫描可能会影响站点稳定性。如有必要,考虑以下几点可帮助您有效配置生产站点扫描。
数据库可能会被扫描期间发送的人工信息所充满
- 在浏览 > 自动表单填充中,清除复选框。
这将确保 AppScan 360° 不会自动填写表单(从而避免提交可能会大量涌入数据库、公告牌或联机论坛系统的数据),也不会向管理员或版主帐户发送不需要的电子邮件。但是,您应该注意,这样做将限制 AppScan 360° 到达通过提交表单来访问的站点区域的能力。在此运行方式下,AppScan 360° 将仅扫描可通过点击链接(带有或不带参数)来访问的站点区域。
- 在通信 > 最大请求速率中,考虑减少每秒允许的最大请求数。
- 创建一个测试帐户。使用测试帐户可更加轻松地跟踪数据库更改(例如,确保服务实际上未被订购),并帮助站点管理员在扫描后清理站点。创建帐户时,考虑执行以下部分或全部操作:
- 将数据库访问限制为仅测试记录,以便可以恢复已修改的记录。
- 确保将删除测试帐户所创建的新纪录。
- 确保将忽略测试帐户的采购订单(或其他交易)。
- 如果交易具有某种影响(如处理库存时),那么仅允许对测试记录的帐户访问权。
- 如果站点包含论坛,那么将仅允许对测试论坛的测试帐户访问权,以使真实客户不会看到在测试过程中创建的测试。
- 如果站点具有针对不同帐户的不同特权,请设置多个具有不同特权的测试帐户。这将确保更加全面地扫描站点。
- 请不要创建具有管理员级别访问权的测试帐户。
电子邮件泛滥风险
测试使用电子邮件通知的页面时,AppScan 360° 会生成许多请求并可能使站点的电子邮件服务器超负荷。如果可行,临时更改所测试的页面上的电子邮件地址,以便该电子邮件发送到无效的电子邮件地址。
测试优化:如果扫描速度更快,为什么我不应该总是使用测试优化?
当您需要更快的结果时,测试优化很有用,但它不像非优化扫描那样彻底。我们建议在速度很重要时进行优化扫描,但您也可以定期以全面扫描进行备份。
测试优化:我能否期望同一站点上的两个优化扫描的结果相同?
我们的团队不断分析和更新设置,每次 AppScan 更新都改进了优化设置,因此即使站点保持不变,结果也可能不同。但是,在早期扫描中发现问题的测试不太可能从稍后具有同样优化级别的扫描中过滤出来。
OTP:如何识别 OTP HTTP 参数?
对于使用 OTP(一次性密码)的站点的 DAST 扫描,AppScan 需要知道包含 OTP 的参数的名称(以便能够登录到应用程序),并且通常在验证记录的登录时识别该参数。如果 AppScan 未能识别该参数,或者您使用自动登录(而不是记录的登录),那么您必须手动添加该参数。
- 浏览至应用程序的登录页面。
- 单击 F12 打开浏览器的开发人员工具窗格(在主浏览器窗格的右侧或下方打开)。
- 单击元素选项卡以查看 HTML 代码。
当您选择代码的一部分时,该元素会在主浏览器窗格中突出显示。
- 找到突出显示 OTP 字段的元素。示例:
<input type="text" name="OTPvalue" value=""> - name 参数的值(不带引号)就是您需要的 OTP HTTP 参数。示例:
OTPvalue - 如果有多个 OTP HTTP 参数,请用逗号分隔这些参数。
DAST 扫描支持哪些协议?
AppScan 360° 可以扫描需要 TLS 1.0、1.1、1.2 和 1.3 的应用程序。
AppScan 360° 支持使用哪种 TLS 协议连接到 AppScan 360° 服务?
AppScan 360° 支持使用 TLS 1.2 连接到服务。
为什么我的重新扫描中的中严重性问题数量增加了?
当重新扫描最初使用 v10.2.0 之前的 DAST 引擎版本运行的扫描时,与原始扫描相比,在重新扫描中发现的“中”严重性问题更多。
从 AppScan DAST 引擎 V10.2.0 开始,CWE 问题严重性和 CVSS 评分基于 CVSS V3.1。使用旧版本的 DAST 引擎运行的扫描使用 CVSS 2.0 评分。在旧版本中分配了“低”严重性的一些问题在 10.2.0 中分配了“中”严重性,导致“中”严重性问题增加。这将在未来版本的 DAST 引擎中更改。
SAST 和 SCA
什么是静态分析 IRX 文件以及它包含什么内容?
IRX 是一种安全且加密的 zip 存档,其中包含运行程序的完整静态分析所需的信息。它在创建期间以及(通过 SSL)传输到云期间进行加密。
在内部,IRX 存档包含以下文件和工件:
- 可部署程序工件的专用、加密表示,从已部署的源代码构建(例如 Java 字节码或 .Net MSIL)。要了解静态分析扫描支持哪些语言,请参阅 静态分析的系统要求。
- 通过程序部署的任何运行时脚本文件,可对这些文件进行分析以查找安全漏洞(例如 .js (Javascript) 或 .rb (Ruby) 文件)。
- 描述程序的应用程序或项目层次结构和关系或依赖关系的 Static Analyzer 配置文件。这允许在应用程序中跨项目边界进行准确而完整的安全性分析。
- 创建存档期间生成的 Static Analyzer 日志文件(用于诊断和支持)。
SCA 问题的 CVSS 版本?
虽然 AppScan 360° 显示了 DAST 问题分数的 CVSS 版本,但可能并不总是显示 SCA 问题分数的 CVSS 版本。