常見問題

一些常見的問題。

一般

免費試用訂閱的限制是什麼?

為什麼我的掃描「已排入佇列」?

我的掃描為何會失敗,狀態為何會變成「檢閱中」?掃描為何「由掃描啟用團隊處理」?

掃描失敗時會發生什麼事?

AppScan 是否支援掃描需要用戶端憑證的網站?

我可以擷取已刪除掃描的掃描結果嗎?

我重新掃描之後可以擷取前一次掃描的掃描結果嗎?

掃描要多久才能完成?

我的掃描似乎花了很長的時間。是不是卡住了?

如果我不刪除掃描,掃描會保留在資料庫中多久?

AppScan 360° 使用哪些 IP?

AppScan 360° 會測試哪些安全問題?

為何我的應用程式風險評級為「不明」?

DAST

為什麼我無法再將環境指定為「暫置」或「正式作業」?

掃描即時正式作業網站時,我應該進行哪些變更?

測試最佳化:如果它的掃描速度更快,為何我不應該一律使用它?

測試最佳化:我是否可以預期在相同網站上的兩個最佳化掃描結果完全相同?

OTP:如何識別 OTP HTTP 參數?

DAST 掃描支援哪些通訊協定?

ASoC 支援連線至 ASoC 服務的是哪個 TLS 通訊協定?

為什麼我的重新掃描中「中嚴重性」問題數量增加?

SAST 與 SCA

何謂靜態分析 IRX 檔案以及它包含什麼內容?

SCA 問題的 CVSS 版本?

一般

免費試用訂閱的限制是什麼?

30 天免費試用是評估 AppScan 360° 的絕佳方式,可讓您在網站或應用程式上執行所有類型的 AppScan 360° 掃描(SAST、DAST 和行動式),並且查看結果的摘要報表。有下列限制:
  • 摘要報告」會列出找到的所有安全問題,但是不會列出問題的詳細資料和建議的補救作業。付費訂閱的完整報告會包含這些資訊。
  • 無法取得「法規報告」。
  • SAST 掃描結果不會列出使用的開放原始碼程式庫。
  • 私有網站掃描(網際網路上無法掃描網站)未啟用。
  • 一次只能執行一個掃描。
  • 掃描的總數限制為五個。
  • 訂閱在 30 天後到期。

為什麼我的掃描「已排入佇列」?

部分訂閱會限制可同時執行的掃描數目(並行掃描)。如果您在達到並行掃描的數量上限時啟動掃描,則新掃描會排入佇列中。您的訂閱允許之後,排入佇列的掃描會依照您啟動的順序自動執行。

請注意,可以排入佇列的掃描數目上限也取決於您的訂閱。當佇列已滿時,您無法啟動其他掃描。

佇列的順序無法編輯,而且會依照掃描開始的順序。

免費試用使用者一次只能執行一個掃描,且無法將掃描排入佇列。

我的掃描為何會失敗,狀態為何會變成「檢閱中」?掃描為何「由掃描啟用團隊處理」?

如果 AppScan 360° 偵測到在目前的設定之下,自動化程序可能會產生不好的結果,則掃描狀態會變更成檢閱中。我們的「掃描啟用團隊」會檢閱設定,並可能加以修改以獲得更好的結果。在這個階段,您無需輸入任何內容,且請勿取消掃描,因為這將會取消檢閱。在檢閱好設定後(通常是在幾小時內),掃描會繼續進行並完成。

掃描失敗或在檢閱中的可能原因包括:
  • 登入認證無效
  • 登入需要第三認證或其他特殊登入程序
  • 登入使用 CAPTCHA(不支援 CAPTCHA;如果您的登入使用 CAPTCHA,則您必須將其停用以便進行掃描)。
  • 無效的應用程式檔案
  • HTTP 鑑別認證無效或遺漏
  • 伺服器無回應或閘道錯誤(AppScan 360° 會傳送大量要求,因此網站/應用程式必須穩定,並且能夠應付龐大流量)
  • IP 遭到封鎖(請務必將所使用的 IPAppScan 360° 列入容許清單)
  • 帳戶鎖定
  • 結果需要手動驗證
  • 您選取的「測試集」不適用於您的網站/應用程式
  • 專用網站掃描:AppScan Presence 非作用中

很明顯地,如果可以避免這些問題,您的掃描就更能快速自動完成。將 AppScan 360° 掃描併入自動化程序這點特別重要,能夠盡可能縮短掃描時間。

掃描失敗時會發生什麼事?

  • 您的帳戶不會被收費。
  • 如果有掃描失敗的診斷原因,系統會通知您以便您能加以修正。

AppScan 是否支援掃描需要用戶端憑證的網站?

很抱歉,AppScan 不支援掃描需要用戶端憑證的網站。

我可以擷取已刪除掃描的掃描結果嗎?

不可以。當您按一下「垃圾桶」圖示時,結果即會從資料庫中刪除。

我重新掃描之後可以擷取前一次掃描的掃描結果嗎?

不可以。當您重新掃描應用程式時,先前的結果會從資料庫中刪除。

掃描要多久才能完成?

視應用程式大小及複雜性而定,會需要從幾分鐘到幾天。您可以選擇在掃描完成時接收電子郵件。

我的掃描似乎花了很長的時間。是不是卡住了?

監視系統會檢查掃描進度,以確保停止沒有進展的掃描。如果掃描看起來仍在執行,應該是在執行中。

如果我不刪除掃描,掃描會保留在資料庫中多久?

使用者所上傳的檔案(如 APK、IPA、IRX、SCAN 和 SCANT)會快取在服務中最多 60 天,以便進行疑難排解。掃描結果會永久儲存在服務中,除非使用者自行刪除,或是帳戶遭到刪除。
註: 從 2020 年 7 月 1 日起,在個人掃描中發現的問題會在 30 天之後刪除,除非您在該時間內將掃描升級。

AppScan 360° 使用哪些 IP?

請參閱系統需求

AppScan 360° 會測試哪些安全問題?

下表顯示每個技術所測試的安全問題。
DAST SAST IAST
  • 功能濫用
  • 強制入侵
  • 緩衝區溢位
  • 內容偽裝
  • 認證/階段作業預測
  • 偽造跨網站要求
  • 跨網站 Scripting (XSS)
  • 阻斷服務
  • 目錄檢索
  • 格式字串
  • HTTP 回應分割
  • 資訊洩漏
  • 不安全檢索
  • 鑑別不足
  • 授權不足
  • 階段作業期限不足
  • 傳輸層保護不足
  • 整數溢位
  • LDAP 注入
  • 郵件指令注入
  • 惡意內容測試
  • 空值位元組注入
  • OS 接管
  • 路徑遍訪
  • 可預測的資源位置
  • 遠端檔案併入
  • 伺服器配置錯誤
  • 階段作業固定
  • SOAP 陣列濫用
  • SQL 注入
  • SSI 注入
  • URL 重新導向程式濫用
  • XML 屬性爆發
  • XML 實體擴充
  • XML 外部實體
  • XML 注入
  • XPath 注入
  • AppDOS
  • 瀏覽器快取機密性資訊
  • 註解顯示機密性資訊
  • 配置問題
  • 跨網站 Scripting (XSS)
  • DB 連線字串操作
  • 電子郵件網路釣魚
  • 電子郵件篡改
  • 需要編碼
  • 公開 Web 服務
  • 檔案篡改
  • 檔案上傳
  • 分割 HTTP 要求
  • 分割 HTTP 回應
  • LDAP 注入
  • 開放式重新導向
  • OS 指令注入
  • 路徑遍訪潛在商業邏輯問題(亦涵蓋不安全直接物件參照)
  • 專用權升級
  • RegEx 注入
  • 移除測試碼
  • SecondOrder 注入
  • 機密資料曝光
  • 機密資料儲存在日誌中
  • 機密性資訊顯示在錯誤訊息中
  • 階段作業管理逾時值太大
  • SQL 注入
  • 未加密通訊
  • URL 篡改
  • 使用加密不安全亂數產生器
  • 使用隱藏欄位
  • 使用不安全加密法演算法
  • 使用不安全原生程式碼
  • 低強度存取控制
  • 低強度鑑別
  • XML 注入
  • XPath 注入
  • XSLT 注入
  • 不正確的伺服器標頭
  • 偽造跨網站要求
  • 跨網站 Scripting (XSS)
  • 僅限 HTTP Cookie
  • 不安全的 Cookie
  • 不安全的登入
  • 不安全的 Cookie
  • LDAP 注入
  • OS 接管
  • 路徑遍訪
  • 階段作業固定
  • SQL 注入
  • 信任界限違規
  • 低強度加密
  • 低強度亂數
  • XML 外部實體
  • XPath 注入

為何我的應用程式風險評級為「不明」?

應用程式的風險評級會根據兩個因素來計算:
  • 找到的問題(由 AppScan 360°
  • 業務衝擊(由使用者指派)
如果尚找不到任何問題,或如果「業務衝擊」為「未指定」(預設值),則「風險評級」將會是「不明」。如果要變更業務衝擊,請參閱風險評級

DAST

為什麼我無法再將環境指定為「暫置」或「正式作業」?

DAST 掃描配置直到最近都還包括「暫置」或「正式作業」環境的選擇。這是為了降低掃描影響您的網站穩定性的風險。精靈現在提供的新配置選項使此設定變得多餘,因此已將其移除。相反地,如果您正在掃描正式作業網站,可以考慮進行下列配置變更:
  • 「探索」>「自動表單填入」中,清除核取方塊以停用此選項。
  • 「通訊」>「最大要求率」中,預設值對於大多數正式作業網站應該沒問題,但您可以考慮減少每秒允許的最大要求數,以減少網站流量。

如需更多詳細資料和建議,請參閱下一節。

掃描即時正式作業網站時,我應該進行哪些變更?

如果可能,建議您在暫置網站上執行 DAST 掃描,而不是在正式作業網站上執行。在即時正式作業網站上執行 DAST 掃描可能會影響網站穩定性。必要時,考量下列幾點可協助您有效配置正式作業網站掃描。

資料庫可能充滿掃描期間傳送的人工資訊

您可以採取下列預防措施來減少這方面的影響:
  1. 「探索」>「自動表單填入」中清除核取方塊。

    這可確保 AppScan 360° 不會自動填寫表單而提交可能會塞爆資料庫、公佈欄或線上討論區系統的資料,也不會將不想要的電子郵件傳至管理員或控管者的帳戶。不過,您應該知道,這麼做將限制 AppScan 360° 到達網站區域(藉由提交表單來存取)的能力。在這個作業模式中,AppScan 360° 只會掃描遵循連結(包含或不含參數)所能存取的網站區域。

  2. 「通訊」>「最大要求率」中,請考慮減少每秒允許的最大要求數。
  3. 建立測試帳戶。
    使用測試帳戶可使資料庫變更的追蹤更加容易(例如,確保不會實際訂購服務),以及協助網站管理者在掃描之後清除網站。建立帳戶時,請考慮執行下列部分或全部操作:
    • 限制從資料庫中只能存取測試記錄,以便還原修改過的記錄。
    • 確定將會刪除測試帳戶所建立的新記錄。
    • 確定將會忽略測試帳戶的採購單(或其他交易)。
    • 如果交易具有影響力(例如處理股票時),請只允許帳戶存取測試記錄。
    • 如果網站有討論區,請只允許測試帳戶存取測試討論區,這樣一來真正的客戶才不會看到測試階段期間所建立的測試。
    • 如果網站會針對不同的帳戶提供不同的專用權,請設定多個測試帳戶,賦予不同的專用權。這可確保能夠進行更全面的網站掃描。
    • 請勿建立具有管理者層級存取權的測試帳戶。

電子郵件氾濫的風險

當測試使用電子郵件通知的頁面時,AppScan 360° 會產生許多要求,且可能使網站的電子郵件伺服器超載。如果可行,暫時變更所測試頁面上的電子郵件位址,以使電子郵件傳送到無效的電子郵件位址。

測試最佳化:如果它的掃描速度更快,為何我不應該一律使用它?

測試最佳化在您需要更快速的結果時很棒,但是不如非最佳化掃描一般的徹底。我們建議在速度很重要時使用最佳化掃描,但是您也可以在定期間隔以完整掃描來備份。

測試最佳化:我是否可以預期在相同網站上的兩個最佳化掃描結果完全相同?

因為我們的團隊會持續分析並更新設定,所以每次 AppScan 更新都會有改善的最佳化設定,因此即使網站未變更,結果也不一定會相同。不過,在相同的最佳化層次下,不太可能有稍早掃描中顯示出問題的測試,在稍後的掃描被過濾掉的情形發生。

OTP:如何識別 OTP HTTP 參數?

針對使用 OTP(一次性密碼)的 DAST 網站掃描,AppScan 需要知道包含 OTP 的參數名稱(以便能夠登入應用程式),並且通常會在驗證「已記錄的登入」時識別它。如果無法這樣做,或如果您使用自動登入而非已記錄的登入,則必須自行新增參數。

若要識別參數,請執行下列動作:
  1. 瀏覽至應用程式的登入頁面。
  2. 按一下 F12 以開啟瀏覽器的開發人員工具窗格(在主要瀏覽器窗格的右側或下方開啟)。
  3. 按一下「元素」標籤以檢視 HTML 程式碼。

    選取程式碼的一部分時,會在主要瀏覽器窗格中強調顯示該元素。

  4. 尋找強調顯示 OTP 欄位的元素。
    範例:
    <input type="text" name="OTPvalue" value="">
  5. name 參數的值(不含引號)是您需要的 OTP HTTP 參數。
    範例:
    OTPvalue
  6. 如果有多個 OTP HTTP 參數,請以逗點區隔它們。

DAST 掃描支援哪些通訊協定?

AppScan 360° 可以掃描需要 TLS 1.0、1.1、1.2 和 1.3 的應用程式。

AppScan 360° 支援連線至 AppScan 360° 服務的是哪個 TLS 通訊協定?

AppScan 360° 支援連線至服務的 TLS 1.2。

為什麼我的重新掃描中「嚴重性」問題數量增加?

原本使用 DAST 引擎 v10.2.0 之前的版本執行重新掃描時,在重新掃描中發現的「中嚴重性」問題比原始掃描中更多。

AppScan DAST 引擎 10.2.0 版開始,CWE 問題嚴重性和 CVSS 評分是以 CVSS 3.1 版為基礎。使用舊版 DAST 引擎執行的掃描採用 CVSS 2.0 評分。一些在舊版中被指定為「低嚴重性」的問題在 10.2.0. 版中被指定為「中嚴重性」,導致「中嚴重性」問題增加。這會在未來的 DAST 引擎版本中進行變更。

SAST 與 SCA

何謂靜態分析 IRX 檔案以及它包含什麼內容?

IRX 是一個安全且加密的 zip 保存檔,其中包含執行程式完整靜態分析的必要資訊。在建立後待用及傳輸至雲端期間(透過 SSL)會進行加密。

IRX 保存檔在內部包含這些檔案和構件:

  • 針對可部署的程式構件的專有及模糊呈現,這是從您已部署的原始碼(例如,Java 位元組碼或 .Net MSIL)所建置。如果要瞭解靜態分析掃描支援哪些語言,請參閱 靜態分析的系統需求
  • 所有與程式一同部署的執行時期 Script 檔都可加以分析以找出安全漏洞(例如 .js (Javascript) 或 .rb (Ruby) 檔案)。
  • Static Analyzer 配置檔,其中說明應用程式或專案階層以及程式的關係或相依關係。這可在應用程式內跨越專案界限進行精確且完整的安全分析。
  • 在建立保存檔期間所產生的 Static Analyzer 日誌檔(用於診斷和支援)。

SCA 問題的 CVSS 版本?

儘管 AppScan 360° 會顯示為 DAST 問題評分的 CVSS 版本,但有時可能不會顯示 SCA 問題評分的 CVSS 版本。