错误页面

“配置”对话框的“错误页面”视图。

AppScan® 在响应测试时遇到 404 错误页面时,通常会将测试标记为失败。这是因为 404 响应表明该站点已正确将请求识别为非法。但是,在某些情况下,情况恰好相反,并且错误页面指示成功结果。在这两种场景中,准确定义错误页面非常重要,以便 AppScan 能够相应识别这些错误页面。

Web 应用程序和服务器通常使用自动识别可能会有挑战性的定制或动态生成的 404 错误页面。当 AppScan 尝试识别定制 404 错误页面时,可能会出现无法识别的情况。如果 AppScan 遇到错误页面并且无法识别这些错误页面,它可能会错误地将结果注册为正,而该结果应该是负的,反之亦然。缺省情况下,“错误页面”列表包含标准错误页面定义,每个定义都显示位置和值。

如果此列表中的定义未涵盖您应用程序的错误页面,那么应当添加必要的字符串或正则表达式,从而让 AppScan® 可以在响应内容和/或路径中识别您的错误页面。通过执行此操作,可以减少扫描结果中“假阳性”的数量。有两种方法可以做到这一点:

  • 您可以在扫描之前手动定义错误页面。查看 定义新错误页面
  • 如果您已完成“探索”阶段,那么可以设置已发现为错误页面的 URL。查看 设置错误页面
重要: 错误的错误页面定义可能会导致“假阳性”和“漏报”结果。因此,当您在扫描的“测试”阶段之后添加或删除错误页面时,必须更新扫描结果。
  • 对于先前的定义指示测试成功的测试,请单击将更改应用于当前结果来更新结果
  • 对于先前的定义指示测试失败的测试,必须重新测试。
通过认真执行这些步骤,您可以提高扫描结果的准确性,并最大限度地减少误导信息的影响。