测试选项
“配置”对话框的“测试选项”视图。
该视图允许您配置会影响扫描长度和完整性的各种设置。但是,在大多数情况下,缺省设置就已足够了。
设置 |
详细信息 |
---|---|
测试选项: |
|
使用自适应测试 |
AppScan® 可将成千上万的测试发送到站点。但是,为缩短扫描时间,可以发送初步测试,以明确确定哪些测试是适合发送的,哪些测试是可以省掉的。这就是“自适应测试”,它可以极大地缩短扫描时间,同时不影响效率。 如果您想要 AppScan® 将其全部测试都发送到此站点,请清空此复选框。 |
允许多阶段扫描 |
AppScan® 会分析发送到应用程序的测试的响应。通常,AppScan® 可以从该分析中发现其他内容,例如在扫描的第一“阶段”看不到的链接。多步骤扫描允许 AppScan® 在该最新检测内容上重复探索和测试阶段。(通常,由于仅涉及新的链接,因此其他阶段会更短。) 缺省情况下配置的“多阶段扫描”最多允许四个扫描阶段。 注意:仅当运行“全面扫描”时才应用多阶段扫描。如果使用“仅探索”和“仅测试”功能,那么结果将会是单阶段扫描。 |
发送对登录页面的测试 |
除非应用程序会阻止提供非法输入的用户,或在 AppScan® 测试登录页面时会更改应用程序流,否则建议允许 AppScan® 测试登录页面。 |
请勿在测试登录页面时发送会话标识 |
仅在选中“发送对登录页面的测试”复选框时,此选项才处于活动状态。建议将此复选框保留为选中状态,因为测试登录页面时会话标识可能会导致测试不成功。仅当您确定需要有效会话令牌来测试登录页面时,才应清除该复选框。 请注意,即使选中该复选框,某些测试仍会与会话标识一起发送,以避免产生假阳性结果。 |
发送对注销页面的测试 |
除非应用程序会阻止提供非法输入的用户,或在 AppScan® 测试注销页面时会更改应用程序流,否则建议允许 AppScan® 测试注销页面。 |
针对每个问题仅保存一种变体 | 缺省情况下,AppScan 会针对每个问题测试多个变体,以确保全面检测漏洞。要优化扫描时间,可以启用此选项,以将 AppScan 限制为仅在发现问题的第一个变体之前进行测试。虽然这样可以缩短扫描时间,但请务必注意,可能会遗漏一些具有不同变体的漏洞。 |
分析对超出特定测试范围的问题的测试响应 |
选择该选项时,AppScan 会为除特定测试问题之外的其他安全问题分析每个测试响应。如果应用程序太大,或扫描生成了大量错误肯定结果,那么请取消选中该选项。 |
对于超出特定测试范围的问题,仅分析一种变体 | 缺省情况下,对于更广泛的问题类型,AppScan 仅分析一种变体,以提高效率并避免冗余。要分析更多变体,请取消选择此选项,但请注意,这样做会增加扫描时间。 如果您选择了“针对每个问题仅保存一种变体”和“分析对超出特定测试范围的问题的测试响应”,则缺省情况下将选择此选项,并且不能更改。 |
仅测试表单提交请求中的 Cookie 安全性问题 |
选中时(缺省),AppScan® 将仅针对表单提交请求中使用的 Cookie 提交 Cookie 相关测试。要实现更高的精确性(但会延长扫描时间),请取消选中此复选框,然后 AppScan® 将针对所有相关 HTTP 请求来提交 Cookie 测试。 |
报告易受攻击的组件 |
代码中的第三方组件在“探索”阶段进行识别,并显示在“数据”视图中。 当选择此选项(缺省值)时,ADAC 将在“问题”视图中报告这些组件中的已知漏洞,并建议更新。 |