建立新的掃描(完整配置)

提供掃描的「起始 URL」和使用者認證、選取網站類型,以及(如果先前沒有這麼做的話)驗證您掃描網站的許可權。

開始之前

程序

  1. 在特定「應用程式」頁面上,按一下「建立掃描」,然後按一下「DAST 動態分析」下的「建立掃描」以開啟精靈。
  2. 按一下「新的掃瞄」。
    請根據需要按一下畫面來指示值或變更設定。在許多情況下,預設值即已足夠。完成後,請按一下「掃描」。
  3. 目標:起始 URL 和網域

    必須輸入掃描的起始 URL。

    設定

    選項

    起始 URL

    URL 欄位
    輸入應從該處開始掃描的 URL。若為 Web API,則沒有「起始」URL,因此在您要掃描的服務網域中輸入任何有效 URL 即可。
    掃描示範網站
    按一下此連結,以填寫 AppScan 示範網站的 URL。這可讓您不用驗證網域即可執行掃描。在「登入」標籤中,輸入「使用者名稱」:JSmith 和「密碼」:Demo1234
    註: 只要您使用所提供的完整 URL,執行示範網站掃描就不會計入您的授權限制。如果您移除 ?mode=demo 交換器,掃描就會計入您的限制。
    僅包含這個目錄中以及其下的鏈結。
    選取此勾選框可排除掃描時可能作為連結被人發現的任何外部、並行或子網域。清除此勾選框時,掃描可以包含起始 URL 以外的網域。

    要測試的網域

    請列出將會包含在掃描中的網域。您輸入的起始 URL 會自動新增到這裡。

    如果您的網站包含起始 URL 以外的網域,而且您想要掃描這些網域,請按一下新增另一個網域來新增這些網域。

    註: 由於不再需要選取暫置或正式作業環境的選項,因此最近已移除。如需相關資訊,請參閱為什麼我無法再將環境指定為「暫置」或「正式作業」?
  4. 鑑別和連線功能:登入管理

    依預設,不需要登入。

    如果為下列情況,請保留選項不變:
    • 不需要登入/授權,或
    • (Web API) 授權使用固定值或長期值(例如 API 金鑰或固定載送記號)。

    設定

    選項

    登入

    需要登入:使用者名稱與密碼
    選取 AppScan 360° 是否可以視需要使用認證登入,而且沒有特殊程序。您也可以輸入第三認證(選擇性)。例如:PIN# = 1234。然而,使用第三認證需要 AppScan 360° 支援團隊介入,而且掃描可能需要更長時間。
    註: 不支援 CAPTCHA。
    提示: AppScan 360° 建議使用測試認證,而不是實際使用者的認證。
    此選項與 Web API 無關。
    需要登入:已記錄的登入
    若需特殊登入程序,請選取此選項來上傳程序記錄,AppScan 360° 在掃描期間登入應用程式時,就必須使用此程序記錄。您可以使用AppScan 活動記錄器(儲存為 CONFIG 檔)或 AppScan Standard (匯出為 LOGIN 檔)來記錄。
    重要: 記錄的登入序列必須包含下列要求:
    • 登入/授權要求
    • 其他登入/授權要求。這個「額外」要求有助於 AppScan 在測試應用程式時,識別成功的授權和維護階段作業。

    請參閱 記錄資料流量使用 AppScan Standard 記錄登入,瞭解記錄 CONFIGLOGIN 檔的詳細資料。

  5. 鑑別和連線功能:HTTP 鑑別

    除了「登入」資訊之外,指出應用程式是否需要 HTTP 鑑別(Negotiate、NTLM、Kerberos、ADFS、Basic 或 Digest)。輸入要讓 AppScan 360° 在掃描期間使用的使用者名稱密碼,以及網域(選擇性)。

  6. 鑑別和連線功能:一次性密碼

    若您的網站需要時間型一次性密碼供使用者登入 (MFA),請選取此勾選框,並填寫對話框的前四個欄位

    設定

    選項

    使用 TOTP

    • 秘密金鑰
    • OTP 長度(位數)
    • 使用的雜湊演算法(從下拉清單中選取)
    • 時間步驟(以秒數為單位)
    註: TOTP 是此精靈唯一支援的 OTP。如需更多 OTP 選項,您可以在 AppScan Standard 中配置掃描,並上傳至 AppScan 360°。使用 OTP 在 AppScan Standard 中配置掃描時,您必須使用動作型登入,而非要求型登入,詳細資訊請參閱 AppScan Standard 說明文件。
  7. 鑑別和連線功能:通訊

    設定 AppScan 360° 能夠同時傳送至網站的要求數上限。

    設定

    選項

    執行緒數

    如果您的網站不允許此數量,請降低限制;如果您的網站完全不允許同時執行緒,請將限制降到 1

    伺服器通訊逾時

    在掃描期間自動調整
    允許 AppScan 360° 決定在逾時之前等待任何特定回應的時間長度。這可以大幅降低掃描時間。
    已修正
    設定 AppScan 360° 在逾時之前等待回應的時間上限。如果網站的回應速度緩慢,且 AppScan 360° 由於逾時時間較短而缺少回應,請提高此設定。

    要求率上限

    依預設,AppScan 360° 會儘快將其要求傳給網站。若此限制使您的網路或伺服器超載,您可以減少限制。

  8. 鑑別和連線功能:探索

    定義 AppScan 360° 在掃描期間如何探索網站。

    設定

    選項

    自動表單填入

    AppScan 360° 使用 AppScan Standard 的預設表單填入參數值在網站上填入並提交表單。
    重要: 如果您正在掃描即時正式作業網站,建議您停用此功能。如需詳細資料,請參閱 掃描即時正式作業網站時,我應該進行哪些變更?
    註: 如果您關閉 AppScan 360° 中的自動表單填入並進行掃描,除了登入管理資料以外,將會移除表單中填入的所有資訊。AppScan 將不會在掃描期間自動填入表單。當您將此掃描匯入 AppScan Standard 時,即會啟用自動表單填入,但除了登入管理之外,表單填入資料將會為空白。

    類型

    自動探索
    AppScan 從起始 URL 自動搜索 Web 應用程式,以探索其將測試的頁面。此選項與 Web API 無關;請使用下一個選項。
    利用指引進行探索
    上傳您自己錄製的「探索」階段,以供 AppScan 測試。您可以自行使用此項,也可以在自動「探索」階段之外使用。
    如需這兩種探索類型的詳細資料,請參閱 關於動態分析 (DAST)

    利用指引進行探索

    只有在您選取了使用指引探索時,這個區段才是有效的。

    上傳記錄

    上傳一個以上的 DAST.CONFIG 流量檔案。如果要進一步瞭解如何記錄,請參閱 記錄資料流量。若為 Web API,最佳選項通常為 HCL AppScan 資料流量記錄器

    檔案設定

    如果資料流量檔案中的要求必須以您記錄的特定順序傳送,請啟動多步驟。這個方法會大幅增加掃描的持續時間,因此請只在需要時才使用。如果要瞭解多步驟和一般使用指引探索之間的差異,請參閱 利用指引進行探索

    若要啟動多步驟
    • 針對每個上傳的記錄,請按一下檔名,並將啟動多步驟選項切換為開啟
    如何使用記錄
    除了完全自動的「探索」階段之外,請使用記錄的「探索」,並測試其全部
    AppScan 360° 會執行其自己的自動「探索」階段來探索應用程式,並根據這些結果您上傳的資料流量檔案來進行測試。此選項與 Web API 無關;請使用下一個選項。
    僅分析及測試記錄的「探索」
    AppScan 360° 會將上傳的檔案視為掃描的探索階段。其會分析和建立所記錄資料流量的測試,然後加以測試。不會有自動探索階段。
  9. 測試:測試原則和最佳化

    AppScan 360°AppScan Standard 預設測試原則套用至掃描。無法使用精靈變更此設定。

    設定

    選項

    測試原則

    AppScan Standard 中或透過 API 配置掃描,來套用不同的測試原則。無法在精靈中變更測試原則。
    提示: 測試原則與應用程式原則不同。

    測試最佳化

    根據需要,選取在掃描速度和問題範圍之間的取捨範圍。調節器提供四個等級。預設為快速。如需詳細資料,請參閱測試最佳化

    登入/登出測試 選擇是否傳送登入和登出頁面上的測試。如果您選擇傳送登入頁面上的測試,請指定是否傳送階段作業 ID。
  10. 測試:測試選項

    選擇是否傳送登入和登出頁面上的測試。如果您選擇傳送登入頁面上的測試,請指定是否傳送階段作業 ID。

  11. 喜好設定:排程

    指定掃描執行時間:現在、稍後或排程。

    設定

    選項

    立即掃描

    一旦設定和檢閱完成,系統就會執行您的掃描。

    儲存以便稍後使用

    完成後會儲存您的配置。您可以稍後再執行掃描。

    排程
    系統會儲存您的配置,並依配置執行一項或多項掃描。
    1. 選取一個日期和時間。請根據您機器上配置的時區來輸入這些資料,但請注意,使用者介面中顯示的時間會轉換成 UTC。
    2. 如果要多次執行掃描,請選取重複,然後選擇:
      • 每日,並選取每日間隔 (1-30 天)
      • 每週,並選取日子,或
      • 每月,選取每月間隔,然後選取月份的數字日期,或月份的某工作日(第一、第二、第三、第四、最後一個)。
      註: 當排定的時間到達時,如果並行掃描的數目已達到上限,掃描勍會在您的訂閱允許時立即開始。
    3. 設定結束日期(執行掃描的最後日期),或按一下移除結束日期,讓排程無限期執行。
  12. 喜好設定:掃描選項
    在「掃描選項」畫面中,您可以:
    • 選擇以個人掃描形式執行掃描。
    • 選擇在掃描完成時接收電子郵件。
  13. 摘要

    視需要編輯掃描名稱,並檢閱為掃描選取的設定。如有需要,按一下返回上一個畫面以進行調整。

  14. 按一下「掃描」。

結果

新掃描會連同其開始時間新增至掃描視圖,並且會有進度列指出掃描正在執行中。掃描完成時進度列會關閉,結果會彙總在圖形中,且(如果選取的話)您會收到電子郵件通知。請參閱結果