「主要」標籤
掃描配置 > 探索選項 >「主要」標籤。
- 探索方法
- ADAC 針對掃描的「探索」階段使用兩個相異的方法。您可以選取任一項或兩者皆選。這兩種方法,「要求型探索」通常會比「動作型探索」快速。當選取兩者時(預設建議值),會先執行「動作型探索」,但有 30 分鐘的時間限制,然後再接著執行「要求型探索」。
- 頁面結構 (DOM) 過濾功能
- 這些功能可以識別非常類似於已掃描頁面的那些頁面,因此您可以放心忽略,掃描時間也因而大幅降低。
- 掃描限制
- 這些功能決定了 ADAC 探索您應用程式的深度(或速度)。
- 其他設定
- 這些是用來配置用戶端,以辨識特定的伺服器編碼,以及傳送特定的 user-agent 標頭。
|
設定 |
詳細資料 |
|---|---|
|
探索方法 |
|
|
動作型 |
使用 Google Chrome 瀏覽器版本來掃描網站(如同使用者的行為),按一下瀏覽器中可看到的鏈結。這種方法對於使用新技術(例如 JavaScript 和階段作業儲存),以及 RIA、單一頁面應用程式 (SPA) 或 AngularJS 的網站特別有效率。 |
|
要求型 |
根據 AppScan 探索的所有頁面內容來傳送要求。這包含使用瀏覽器的使用者所看不到的內容(例如註解中的鏈結),但攻擊者可以看到。 |
|
頁面結構 (DOM) 過濾功能 |
|
|
根據結構 (DOM) 過濾類似的頁面 |
AppScan® 會比較新頁面與已掃描頁面的結構 (DOM) 相似性,以指出新頁面不含需要額外測試的新鏈結或內容。例如,在商業網站上,一個型錄可能會有包含數千種不同產品的個別頁面,但所有其他方面都相同。通常不需要掃描所有這些頁面。根據 DOM 相似性加以過濾可以大幅降低掃描時間。 依預設,這兩個勾選框都會選取。掃描之後,您應該檢查掃描結果的「已過濾」標籤,以查看是否有獨特的要求誤被掃描過濾掉。如果發生這種情況,您應該嘗試「過濾較少頁面」選項(這會維持固定且較低階的過濾功能),或一併停用 DOM 過濾功能。 結果的「已過濾」標籤中會有三種類型的已過濾項目:
|
|
根據結構 (DOM) 過濾可能類似的頁面 |
這項設定會從掃描中過濾掉「可能類似的 DOM」頁面(請參閱上述說明)。如果會誤將唯一的要求從掃描中過濾掉,您應該清除這個勾選框。 |
|
掃描限制 |
|
|
冗餘路徑限制 |
AppScan 存取相同路徑的次數不會超出指定的次數。 如果特定路徑似乎含有不同參數,可以造訪特定路徑若干次。這個限制主要與 Script 相關。依預設是不選取,因為在大部分情況下,選取上述的根據結構 (DOM) 過濾重複的頁面勾選框,便足以控制掃描時間。 |
|
點按深度限制 |
AppScan 不會掃描點按超出指定的鏈結數目才能存取的頁面。 |
|
頁面總數限制 |
如果選取,AppScan 存取的數量不會超過定義的頁面數上限。請注意,每一頁可能已探索多個 URL。 |
|
其他設定 |
|
|
編碼 |
AppScan 通常會自動偵測應用程式的編碼方法,因此依預設會選取自動偵測。 如果掃描「結果」中的回應內容似乎已損毀,這可能表示未正確識別編碼方法。如果要解決這個問題,請從下拉清單選取正確的編碼方法。 |
|
使用者代理程式 |
HTTP 要求中的 user-agent 標頭會告訴伺服器是哪種類型的用戶端傳送該要求,這可能影響伺服器所傳回的內容。舉例來說,可能是行動電話特定的內容,亦即,只有在使用者代理程式是行動電話瀏覽器時才會傳送的內容。為了讓 AppScan 能夠測試這類內容,您需要將它配置成傳送適當的 user-agent 標頭。 AppScan 通常會自動偵測使用者代理程式,因此,依預設會選取自動偵測。不過,如果您使用的瀏覽器不是內建瀏覽器,且未記錄登入程序、多步驟作業或手動探索,AppScan 將無法自動偵測使用者代理程式,而必須手動選取。 如果要變更使用者代理程式,請從下拉清單中選取代理程式。 如果要輸入自訂內容,請按一下編輯按鈕,並輸入內容。當您關閉對話框時,按鈕名稱會變更為自訂使用者代理程式。 如需其他詳細資料,請參閱user-agent 標頭。 |