关于动态分析 (DAST)
AppScan 360° 动态 (DAST) 扫描中包含两个阶段:探索和测试。即使大多数扫描过程对用户是无缝的,并且在扫描完成之前不需要输入,但了解动态扫描的工作方式可以帮助您更好地了解扫描在开发过程中的作用。
阶段 1:探索
探索阶段可以在自动扫描中自动运行,也可以由用户手动运行,或者将两者结合。
在第一个阶段,从您配置的 URL 开始,AppScan 360° 通过模拟 Web 用户单击链接并填写表单字段来爬取您的应用程序,从而建立对应用程序结构的理解
AppScan 360° 会分析对每个探索请求的响应,查找潜在漏洞的任何指示信息。AppScan 360° 接收到可能指示有安全漏洞的响应时,它将基于响应创建一个或多个测试,并通知所需验证规则,同时考虑在确定哪些结果构成漏洞以及所涉及到安全风险的级别时所需的验证规则。
在发送已创建的特定于站点的测试之前,AppScan 360° 将向应用程序发送若干格式不正确的请求,以确定其生成错误响应的方式。之后,此信息将用于增加 AppScan 360° 的自动测试验证过程的精确性。
在典型的扫描中,将自动运行探索阶段以发现应用程序。但是,您可以使用通过指导探索功能将 AppScan 360° 配置为探索站点的特定部分,或者以特定顺序发送请求。请参阅根据指导进行探索。
第 2 阶段:测试
在第二个阶段,AppScan 360° 将发送它在探索阶段创建的数千个定制测试请求。它使用定制验证规则记录和分析应用程序对每个测试的响应。这些规则既可识别应用程序内的安全问题,又可排列其安全风险级别。
扫描阶段
在实践中,测试阶段会频繁显示应用程序内的新链接和更多潜在安全风险。因此,完成探索和测试的第一个阶段之后,AppScan 360° 将自动开始第二个阶段,以处理新的信息。如果在第二个过程中发现了新链接,那么会运行第三个过程,依此类推。
在测试阶段发现新链接将触发运行时期间显示的预期测试数发生变化。完成已配置的扫描阶段数之后,扫描将停止,并且完整的结果可供用户使用。
缺省情况下有四个阶段。无法在 AppScan 360° 中对此进行更改。但是,如果在上载的配置文件 (DAST.CONFIG
)扫描文件 (.scan
) 或扫描模板 (.scant
) 中配置了其他数目,则将运行该数量的阶段。