已记录的探索

已记录的探索功能允许您爬取应用程序的特定部分,以将AppScan 360°“引导”到这些区域,确保它们在 DAST 扫描中经过测试,并确保 AppScan 360° 具有按特定顺序浏览链接所需的信息。

需要特定用户输入时,或者站点仅对其他类型的工具或设备做出响应时,使用已记录的探索

可以通过下列两种方式记录流量:
  • 使用 AppScan Activity Recorder(Chrome 或 Edge Web 浏览器的扩展)
  • 使用 HCL AppScan 流量记录器(对于 Web API 可能最合适)
在这两种情况下,记录的流量都另存为 DAST.CONFIG 文件。

或者,您也可以上载使用 AppScan Standard 或 AppScan Dynamic Analysis Client (ADAC) 记录并保存为 .EXD 文件的流量文件。

当您上载包含多个域的文件时,域将添加到“要测试的域”列表中。将仅测试已允许或验证的域。 AppScan 360° 每次扫描最多只能扫描 5 个域。

创建 AppScan 360° 扫描时,您可以通过以下三种方式之一使用已记录的探索
  • 使用已记录的探索中的文件选项:
    • 同时使用已记录的探索阶段和自动探索阶段,以实现全面测试:除了自动探索阶段,AppScan 360° 还会自动探索应用程序并测试您的记录及其自己的探索数据。
    • 仅分析和测试已记录的探索数据:在扫描的探索阶段,仅测试记录中包含的应用程序部分。
  • 使用 AppScan Standard 中的手动探索,将其另存为 SCAN 文件,然后将文件上载到 AppScan 360° 以创建扫描。AppScan Standard 中的手动探索类似于 AppScan 360°已记录的探索

已记录的探索仅适用于 DAST 扫描。在扫描向导的探索阶段将上载您的 DAST.CONFIG.EXD 文件并配置指导。请参阅 DAST 扫描配置 > 探索步骤

有关如何记录流量的详细信息,请参阅记录流量

多步骤探索

多步骤探索是一种特定的已记录探索类型,其中不仅应向 AppScan 360° 显示要爬取的链接,还应显示爬取的特定顺序。将多步骤用于对站点的一些部分进行测试(只能通过按特定顺序发送请求来访问;比如,在一个在线商店中,用户需首先将商品添加到购物车,然后才能付款)。

例如,考虑站点的以下三个页面:
  1. 用户将一个或多个商品添加到购物车。
  2. 用户填写付款和送货详细信息。
  3. 用户收到订单完成的确认。
只有在第一页完成后才能访问第二页。只有在第二页完成后才能访问第三页。这是一个序列。为了能够测试第二页和第三页,AppScan 360° 必须在进行各测试之前发送正确的 HTTP 请求序列。
在上述示例中,您将保存指导探索记录 (DAST.CONFIG),在其中浏览第 1 页 > 第 2 页 > 第 3 页AppScan 360° 将根据需要从该序列中抽取必要的子序列:在测试第二页时,将首先发送第一页请求;在测试第三页时,将发送第一页,然后发送第二页。
重要: 由于在多步骤记录中,任何一个步骤都必须以其所有先前步骤为前提,而且某个特定步骤在一次扫描中可能会被测试数百次,因此启用多步骤功能可能会显著增加扫描时间。只有当请求的顺序对于访问应用程序的特定部分非常重要时,才应使用该功能。

多个 DAST.CONFIG 文件

您可以为单个扫描上载多个文件。如果激活,多步骤设置将应用于所有文件,请参阅 DAST 扫描配置 > 探索步骤