關於動態分析 (DAST)

AppScan 360° 動態 (DAST) 掃描由兩個階段組成:「探索」和「測試」。雖然大多數掃描程序對使用者而言都很順暢,而且在掃描完成前不需要輸入,但瞭解動態掃描的運作方式有助於您更瞭解掃描在開發程序中所扮演的角色。

階段 1:探索

探索」階段可以自動作為自動掃描的一部分執行,或由使用者手動執行,或兩者結合使用。

在第一個階段期間,從您配置的 URL 開始,AppScan 360° 會藉由模擬按一下連結的 Web 使用者並完成表單欄位,以搜索應用程式,並建立對應用程式結構的瞭解。

AppScan 360° 會分析對每個「探索」要求的回應,尋找任何潛在漏洞的蛛絲馬跡。當 AppScan 360° 收到可能表示安全漏洞的回應時,其會根據回應來建立一或多項測試,且會記下判斷構成漏洞的結果所需要的驗證規則,以及所包含的安全風險層次。

在傳送所建立的網站專用測試之前,AppScan 360° 會先傳送一些形態異常的要求給應用程式,以判斷其產生錯誤回應的方式。之後,便利用這項資訊來增加 AppScan 360° 的自動測試驗證程序的精準度。

在一般掃描中,用來探索應用程式的「探索」階段會自動執行。不過,您可以配置 AppScan 360° 來探索網站的特定部分,或透過使用指引探索功能,依特定順序傳送要求。請參閱使用指引探索

階段 2測試

在第二階段期間,AppScan 360° 會傳送其在「探索」階段期間所建立的數千項自訂測試要求。它會錄製應用程式對每項測試的回應,並利用自訂驗證規則來分析這些回應。這些規則可識別應用程式內的安全問題,也能夠評定它們的安全風險層次等級。

掃描回合

實際上,「測試」階段通常會顯示應用程式內的新連結,以及更多潛在的安全風險。因此,在完成第一回合的「探索」和「測試」之後,AppScan 360° 會自動開始第二回合來處理新的資訊。如果第二回合期間發現新連結,便會執行第三回合,依此類推。

在「測試」階段中探索新連結,會觸發執行時期所顯示的預期測試數目變更。完成所配置的掃描回合數目之後,掃描便會停止,使用者可以使用完成的結果。

預設回合數是四個。無法在 AppScan 360° 中變更此值,但如果在上傳的 配置檔 (DAST.CONFIG)、 掃描檔案 (.scan) 或掃描範本 (.scant) 中配置了不同的數字,則會執行回合數。

掃描流程