建立新的掃描(完整配置)
提供掃描的「起始 URL」和使用者認證、選取網站類型,以及(如果先前沒有這麼做的話)驗證您掃描網站的許可權。
開始之前
- 在掃描之前先備份網站。
- 如果您尚未執行此操作,請為您的掃描建立應用程式。
- 如果要掃描即時正式作業網站,請先參閱 掃描即時正式作業網站時,我應該進行哪些變更?
程序
- 在特定「應用程式」頁面上,按一下「建立掃描」,然後按一下「DAST 動態分析」下的「建立掃描」以開啟精靈。
-
按一下「新的掃瞄」。
請根據需要按一下畫面來指示值或變更設定。在許多情況下,預設值即已足夠。完成後,請按一下「掃描」。
-
目標:起始 URL 和網域
您必須輸入掃描的起始 URL。
設定
選項
起始 URL
- URL 欄位
- 輸入應從該處開始掃描的 URL。若為 Web API,則沒有「起始」URL,因此在您要掃描的服務網域中輸入任何有效 URL 即可。
- 掃描示範網站
- 按一下此連結,以填寫 AppScan 示範網站的 URL。這可讓您不用驗證網域即可執行掃描。在「登入」標籤中,輸入「使用者名稱」:
JSmith和「密碼」:Demo1234註: 只要您使用所提供的完整 URL,執行示範網站掃描就不會計入您的授權限制。如果您移除?mode=demo交換器,掃描就會計入您的限制。 - 僅包含這個目錄中以及其下的鏈結。
- 選取此勾選框可排除掃描時可能作為連結被人發現的任何外部、並行或子網域。清除此勾選框時,掃描可以包含起始 URL 以外的網域。
要測試的網域
請列出將會包含在掃描中的網域。您輸入的起始 URL 會自動新增到這裡。
如果您的網站包含起始 URL 以外的網域,而且您想要掃描這些網域,請按一下新增另一個網域來新增這些網域。
註: 由於不再需要選取暫置或正式作業環境的選項,因此最近已移除。如需相關資訊,請參閱為什麼我無法再將環境指定為「暫置」或「正式作業」?。 -
鑑別和連線功能:登入管理
依預設,不需要登入。
如果為下列情況,請保留選項不變:- 不需要登入/授權,或
- (Web API) 授權使用固定值或長期值(例如 API 金鑰或固定載送記號)。
設定
選項
登入
- 需要登入:使用者名稱與密碼
- 選取 AppScan 360° 是否可以視需要使用認證登入,而且沒有特殊程序。您也可以輸入第三認證(選擇性)。例如:
PIN# = 1234。然而,使用第三認證需要 AppScan 360° 支援團隊介入,而且掃描可能需要更長時間。註: 不支援 CAPTCHA。提示: AppScan 360° 建議使用測試認證,而不是實際使用者的認證。此選項與 Web API 無關。 - 需要登入:已記錄的登入
- 若需特殊登入程序,請選取此選項來上傳程序記錄,AppScan 360° 在掃描期間登入應用程式時,就必須使用此程序記錄。您可以使用AppScan 活動記錄器(儲存為
CONFIG檔)或 AppScan Standard (匯出為LOGIN檔)來記錄。重要: 記錄的登入序列必須包含下列要求:- 登入/授權要求
- 其他登入/授權要求。這個「額外」要求有助於 AppScan 在測試應用程式時,識別成功的授權和維護階段作業。
請參閱 記錄資料流量 和 使用 AppScan Standard 記錄登入,瞭解記錄
CONFIG或LOGIN檔的詳細資料。
-
鑑別和連線功能:HTTP 鑑別
除了「登入」資訊之外,指出應用程式是否需要 HTTP 鑑別(Negotiate、NTLM、Kerberos、ADFS、Basic 或 Digest)。輸入要讓 AppScan 360° 在掃描期間使用的使用者名稱、密碼,以及網域(選擇性)。
-
鑑別和連線功能:一次性密碼
若您的網站需要時間型一次性密碼供使用者登入 (MFA),請選取此勾選框,並填寫對話框的前四個欄位。
設定
選項
使用 TOTP
- 秘密金鑰
- OTP 長度(位數)
- 使用的雜湊演算法(從下拉清單中選取)
- 時間步驟(以秒數為單位)
註: TOTP 是此精靈唯一支援的 OTP。如需更多 OTP 選項,您可以在 AppScan Standard 中配置掃描,並上傳至 AppScan 360°。使用 OTP 在 AppScan Standard 中配置掃描時,您必須使用動作型登入,而非要求型登入,詳細資訊請參閱 AppScan Standard 說明文件。 -
鑑別和連線功能:通訊
設定 AppScan 360° 能夠同時傳送至網站的要求數上限。
設定
選項
執行緒數
如果您的網站不允許此數量,請降低限制;如果您的網站完全不允許同時執行緒,請將限制降到 1。
伺服器通訊逾時
- 在掃描期間自動調整
- 允許 AppScan 360° 決定在逾時之前等待任何特定回應的時間長度。這可以大幅降低掃描時間。
- 已修正
- 設定 AppScan 360° 在逾時之前等待回應的時間上限。如果網站的回應速度緩慢,且 AppScan 360° 由於逾時時間較短而缺少回應,請提高此設定。
要求率上限
依預設,AppScan 360° 會儘快將其要求傳給網站。若此限制使您的網路或伺服器超載,您可以減少限制。
-
鑑別和連線功能:探索
定義 AppScan 360° 在掃描期間如何探索網站。
設定
選項
自動表單填入
AppScan 360° 使用 AppScan Standard 的預設表單填入參數值在網站上填入並提交表單。重要: 如果您正在掃描即時正式作業網站,建議您停用此功能。如需詳細資料,請參閱 掃描即時正式作業網站時,我應該進行哪些變更?註: 如果您關閉 AppScan 360° 中的自動表單填入並進行掃描,除了登入管理資料以外,將會移除表單中填入的所有資訊。AppScan 將不會在掃描期間自動填入表單。當您將此掃描匯入 AppScan Standard 時,即會啟用自動表單填入,但除了登入管理之外,表單填入資料將會為空白。類型
- 自動探索
- AppScan 從起始 URL 自動搜索 Web 應用程式,以探索其將測試的頁面。此選項與 Web API 無關;請使用下一個選項。
- 利用指引進行探索
- 上傳您自己錄製的「探索」階段,以供 AppScan 測試。您可以自行使用此項,也可以在自動「探索」階段之外使用。
利用指引進行探索
只有在您選取了使用指引探索時,這個區段才是有效的。 上傳記錄
上傳一個以上的
DAST.CONFIG流量檔案。如果要進一步瞭解如何記錄,請參閱 記錄資料流量。若為 Web API,最佳選項通常為 HCL AppScan 資料流量記錄器。檔案設定
如果資料流量檔案中的要求必須以您記錄的特定順序傳送,請啟動多步驟。這個方法會大幅增加掃描的持續時間,因此請只在需要時才使用。如果要瞭解多步驟和一般使用指引探索之間的差異,請參閱 利用指引進行探索。
若要啟動多步驟:- 針對每個上傳的記錄,請按一下檔名,並將啟動多步驟選項切換為開啟。
如何使用記錄 - 除了完全自動的「探索」階段之外,請使用記錄的「探索」,並測試其全部
- AppScan 360° 會執行其自己的自動「探索」階段來探索應用程式,並根據這些結果和您上傳的資料流量檔案來進行測試。此選項與 Web API 無關;請使用下一個選項。
- 僅分析及測試記錄的「探索」
- AppScan 360° 會將上傳的檔案視為掃描的探索階段。其會分析和建立所記錄資料流量的測試,然後加以測試。不會有自動探索階段。
-
測試:測試原則和最佳化
AppScan 360° 將 AppScan Standard 預設測試原則套用至掃描。無法使用精靈變更此設定。
設定
選項
測試原則
在 AppScan Standard 中或透過 API 配置掃描,來套用不同的測試原則。無法在精靈中變更測試原則。提示: 測試原則與應用程式原則不同。測試最佳化
根據需要,選取在掃描速度和問題範圍之間的取捨範圍。調節器提供四個等級。預設為快速。如需詳細資料,請參閱測試最佳化。
登入/登出測試 選擇是否傳送登入和登出頁面上的測試。如果您選擇傳送登入頁面上的測試,請指定是否傳送階段作業 ID。 -
測試:測試選項
選擇是否傳送登入和登出頁面上的測試。如果您選擇傳送登入頁面上的測試,請指定是否傳送階段作業 ID。
-
喜好設定:排程
指定掃描執行時間:現在、稍後或排程。
設定
選項
立即掃描
一旦設定和檢閱完成,系統就會執行您的掃描。
儲存以便稍後使用
完成後會儲存您的配置。您可以稍後再執行掃描。
排程 系統會儲存您的配置,並依配置執行一項或多項掃描。- 選取一個日期和時間。請根據您機器上配置的時區來輸入這些資料,但請注意,使用者介面中顯示的時間會轉換成 UTC。
- 如果要多次執行掃描,請選取重複,然後選擇:
- 每日,並選取每日間隔 (1-30 天)
- 每週,並選取日子,或
- 每月,選取每月間隔,然後選取月份的數字日期,或月份的某工作日(第一、第二、第三、第四、最後一個)。
註: 當排定的時間到達時,如果並行掃描的數目已達到上限,掃描勍會在您的訂閱允許時立即開始。 - 設定結束日期(執行掃描的最後日期),或按一下移除結束日期,讓排程無限期執行。
-
喜好設定:掃描選項
在「掃描選項」畫面中,您可以:
- 選擇以個人掃描形式執行掃描。
- 選擇在掃描完成時接收電子郵件。
-
摘要
視需要編輯掃描名稱,並檢閱為掃描選取的設定。如有需要,按一下返回上一個畫面以進行調整。
- 按一下「掃描」。