記錄資料流量
您可以使用 AppScan 活動記錄器瀏覽器擴充功能(適用於 Chrome 或 Edge)、HCL AppScan 資料流量記錄器 Proxy 伺服器或 AppScan Standard,將流量記錄為 DAST 掃描的探索資料。
執行 DAST 掃描時,AppScan 360° 會自動探索您的網站。有時,製作自己的記錄並上傳以供 AppScan 360° 測試網站時使用,會很有用。下表總結了記錄資料流量的選項,並建議您會覺得這些選項很有用的實務範例。
| 選項 | 說明: | 使用案例 |
|---|---|---|
| AppScan 活動記錄器 | Chrome 和 Edge 的瀏覽器擴充功能。 | 記錄您自己的瀏覽活動,並將其儲存為 DAST.CONFIG 檔案。設定 DAST 掃描時,將檔案上傳至 AppScan 360°。 |
| HCL AppScan 資料流量記錄器 | DAST Proxy 伺服器。 | 可隨需建立資料流量記錄器實例(例如 Selenium 等自動化架構),自動記錄流量並儲存為 DAST.CONFIG 檔案。設定 DAST 掃描時,將檔案上傳至 AppScan 360°。註: 當您上傳傳送至網路 API 的流量記錄時,請選取僅執行測試階段(在掃描設定中)。 AppScan 360° DAST 探索階段無法探索 Web API。
|
| AppScan Standard | 電腦應用程式 | 如果您已安裝 AppScan Standard,您可以利用其進階配置選項來設定掃描,並將其儲存為 SCAN 檔案。使用此檔案在 AppScan 360° 中建立您的 DAST 掃描。您也可以只記錄及驗證登入程序、儲存為 |
使用 AppScan 活動記錄器
若要使用 AppScan 活動記錄器記錄流量:
- 開啟瀏覽器並安裝 AppScan 活動記錄器。
- 在新的瀏覽器標籤中,輸入起始 URL。
- 按一下擴充功能圖示以開始記錄,並記錄引導式探索階段。註: 您必須先登出應用程式,才能開始錄製。
- 完成時,請再次按一下擴充功能圖示,以停止記錄。畫面會提示您儲存 DAST.CONFIG 檔案。
正在使用 AppScan 資料流量記錄器
HCL AppScan 資料流量記錄器 可讓您記錄 Web 服務或 Web API 的資料流量,該 Web 服務或 Web API 可以另存為 DAST.CONFIG 檔,然後用來作為 AppScan 360° 掃描的「探索」資料。如需詳細資料,請參閱HCL AppScan 資料流量記錄器。
註: 當您上傳至網路 API 的流量記錄時,請選取僅執行測試階段(在掃描設定中)。 AppScan 360° DAST 探索階段無法探索 Web API。
使用 AppScan Standard
如需使用案例的詳細資料,以及如何取得 AppScan Standard,請參閱 AppScan Standard
若要使用 AppScan Standard 記錄流量以供 AppScan 360° 使用:
- 開啟「配置」對話框,並使用掃描、登入及其他任何所需設定的「起始 URL」來配置 AppScan 掃描。
- 在 AppScan Standard 中,按一下「手動探索」來開啟「活動記錄器」並開始記錄。
- 登入應用程式,然後按一下您要在掃描中測試的連結。
- 按一下確定。
- 檢閱要求清單,視需要編輯,然後按一下「確定」。
- 儲存
SCAN檔並上傳,以建立 AppScan 360° 掃描(請參閱 從掃描檔案中建立新掃描)。
使用 AppScan Standard 記錄登入
您可以使用 AppScan 360° 來記錄應用程式的登入程序,將該程序匯出為 LOGIN 檔並上傳,以在 AppScan 360° 掃描中使用。
若要在 AppScan Standard 中記錄登入程序:
- 開啟「配置」對話框,並使用掃描的起始 URL 來配置 AppScan 掃描。
- 在「登入管理」視圖中,選取登入方法:已記錄。
- 按一下記錄,然後使用開啟的內部瀏覽器,登入您的應用程式。
HTTP 要求及使用者動作皆會受到記錄。
- 登入之後,按一下我已登入網站。
瀏覽器會關閉,且 AppScan 會分析序列以識別階段作業內頁面,該頁面可在掃描期間用來驗證 AppScan 登出及保持登入的時間。成功完成此動作後,綠色鑰匙圖示會顯示為確認。
- 在對話框的下半部,按一下匯出,將此程序儲存為
LOGIN檔。