進階配置

進階配置視圖可用來變更進階登錄設定,它應僅供有經驗的使用者使用,或在支援團隊的指示下用來進行問題的疑難排解。

註: 每一項設定都有一個 ID,您可以在與支援團隊討論設定時使用。網格中的項目可以依名稱或 ID 排序,方法為按一下相關的直欄標題。
註: 當預設值是正規表示式時,如果完全刪除它,會將設定視為未定義(且不會視為包含任何項目的正規表示式)。
1. 進階配置登錄設定

名稱

說明

可能的使用案例

動作型:

自動核准瀏覽器中的 JS 對話框 自動按下 JavaScript 對話框中的「確定」:警示、確認、提示。

預設值:False

記憶體耗用限制

如果 AppScan 記憶體用量達到此臨界值,ADAC 會藉由限制執行緒的數目,嘗試減少資源用量。

預設值 = 1000 MB

多步驟播放無互動逾時值

停止播放多步驟作業的非互動逾時值(以秒為單位)。

預設值:10

「測試階段」期間允許的瀏覽器實例數

設定掃描的「測試」階段期間可使用多少個瀏覽器實例。

預設值 = 5

如果您的網站密集地使用用戶端 JavaScript 程式碼,並且在掃描期間造成 ADAC 凍結,請減少此數目。

在自動探索中儲存螢幕截圖

ADAC 可以儲存在自動「探索」期間,所造訪的每個頁面的螢幕截圖,但這會影響效能,並大幅增加儲存資料的暫存資料夾大小。

依預設,探索資料的儲存位置為:
C:\ProgramData\HCL\AppScan Standard\temp\[run number]
\AutoCrawler\dom-states\[page identifier]

關閉 ADAC 時將刪除資料。

預設值:False

如果您要檢閱這些螢幕截圖以驗證自動「探索」階段,請變更為 True。請注意,關閉 ADAC 時不會儲存螢幕截圖。

單一登入嘗試的逾時值

在強制關閉瀏覽器之前,ADAC 會等待瀏覽器重播單一動作型登入嘗試的時間(以秒為單位)。

預設值:120

使用 AppScan Chromium

AppScan 會依預設使用 Chromium。必要的話,您可以將此設定變更為「True」,以改為使用 AppScan 本身的 Chromium 實作。

預設值:True

AWS 授權

Cognito 重新整理間隔

Cognito 金鑰更新要求之間的間隔(以秒為單位)。

預設值:270

通訊:

Accept-Language 要求標頭值

在所有 HTTP 要求中傳送給「Accept-Language 標頭」的字串。

如果使用者沒有定義此項,AppScan® 會在這項掃描中,使用瀏覽器第一次所傳送的值,該瀏覽器指的是當初使用者為了記錄登入程序或多步驟式作業,或為了檢視頁面,而開啟的瀏覽器。

預設值:en-US

在「探索」階段期間,AppScan® 可能會因為 Internet Explorer 標頭值而收到非預期的回應。在這種情況下,您應該檢查與網站互動時,Accept-Language 標頭中應使用的值,並在這項設定(或 Internet Explorer)中定義它。

強制傳送不含參數的 HTTP 要求給每一個表單動作

在某些情況下,當收到不含參數的表單提交時,伺服器端邏輯可能會以不同方式運作。

若設為 True,AppScan 將會傳送不含參數的其他要求給每一個表單。這可能導致傳回自訂錯誤頁面,其中含有前往其他網頁和功能的鏈結。

預設值:True

在檢視掃描期間的傳輸時,如果您發現不含參數的表單提交造成應用程式逾時或當掉時,您可以決定將此選項設為 False。

HTTP 喜好設定

定義掃描時要使用的 AppScan 偏好 HTTP 版本。如果伺服器不支援所選的版本,則 AppScan 會選擇可支援的最佳選項。選項如下:
  • 0 = HTTP/1.0
  • 1 = HTTP/1.1
  • 2 = HTTP/2

預設值:1

重要事項:AppScan 只有在網站也使用 TLS 1.2 時,才能掃描 HTTP/2 網站。若是非 HTTPS 的網站,以及使用舊版 TLS 的網站,將會以 HTTP/1.1 掃描。

將 Content-Length 標頭包含在所有要求中

部分伺服器需要 Content-Length 標頭,即使在未定義訊息內文語意的要求中也需要此標頭(例如 GET 方法)。如果遺漏,則伺服器將會拒絕要求。為了解決這個問題,AppScan 會將 Content-Length 標頭新增至沒有 Content-Length 標頭的要求。

若為 True,AppScan 會將 Content-Length 標頭新增至任何還沒有 Content-Length 標頭的要求。

若為 False,AppScan 只有在下列狀況下才會將 Content-Length 標頭新增至任何還沒有 Content-Length 標頭的要求:
  • 有長度非零的要求內文
  • POST、PUT 或 PATCH 要求中有長度為零的要求內文
  • 已從伺服器接收到 HTTP 411 LengthRequired

預設值:True

如果預設行為導致伺服器出現 400 Bad Request 回應,則因為其未預期 GET 要求的 Content-Length 標頭(因為 GET 要求一般不會包括要求內文),所以請將此設定變更為 False。

所有要求中都包含 AppScan 除錯標頭

當設定為 True 時,會在 AppScan® 傳送給網站的所有要求中新增 HTTP 標頭。標頭名稱是 "X-AppScan-Debug",其值含有 AppScan 為何傳送這個特定要求的其他資訊(探索、測試、登入播放、伺服器關閉檢查等)。

預設值:False

當您在 Web 除錯器、Proxy、分析器和錯誤偵測器之類的外部工具中追蹤 AppScan® 流量時,將掃描配置成傳送「X-AppScan-Debug」標頭會很有幫助。

「`」包括此類特殊標頭。

回應長度上限

AppScan® 會截斷冗長的回應,以避免記憶體耗用問題。這項設定定義允許的回應長度上限(以 MB 為單位)。過長的回應會視為錯誤。

預設值:8

如果 AppScan® 似乎遺漏鏈結或登出階段作業,且已知應用程式會傳送冗長回應,則增加回應長度上限可以解決此問題。

移除 'Accept-Encoding' 標頭

AppScan® 不支援所有的編碼,因此會移除不支援的編碼。如果啟用這項設定,AppScan® 將會移除整個標頭,而非只移除不支援的編碼。

預設值:True

如果伺服器拒絕 AppScan 的要求、傳回非預期的回應,或 AppScan® 無法維護階段作業,您應該檢查流量日誌,將 AppScan® 傳送的要求與您常用瀏覽器的要求加以比較。如果瀏覽器中的 Accept-Encoding 標頭不同或遺漏,您應該啟用這項設定。

重複使用伺服器連線

依預設,AppScan 會在使用後關閉 TCP 連線,因為開啟的連線與已儲存的資料可能會影響掃描結果。

若此選項設為 True,AppScan 會在使用後保持連線,並嘗試重複使用開啟的連線(如果可能)。

預設值:False

如果 Web 伺服器上發生網路資源用盡,將此設定變更為 True 或許可以解決問題。

安全套件順序

AppScan® 支援 Basic、Digest、NTML、Negotiate 和 Kerberos HTTP 鑑別。如果您要強制 AppScan 使用 或不使用特定的方法,或者當網站/Proxy 允許 多種方法,要套用方法選擇的喜好設定順序時,您可以編輯此值。

比方說,如果您只打算允許 NTLM 和 Basic,而且在適當的情形下偏好使用 NTLM,請將此字串編輯為:ntlm, basic

預設值:basic, digest, ntlm, negotiate, kerberos

如果您的網站使用特定的鑑別方法,而且 AppScan® 遭拒絕存取,請將需要的方法定義為唯一的方法,即可解決問題。

如果要使用特定方法(例如「基本」 和 NTLM)來測試您的網站,您可以只用「基本」來配置一個掃描,而另一個則只用 NTLM 來配置。

斜線正規化

URL 正規化是利用單一斜線取代兩個或兩個以上的連續斜線。

預設值:True

如果您的網站 URL 利用 連續斜線,請取消啟動此設定。

TLS 支援

列出允許的 TLS 通訊協定。AppScan 會選擇使用者配置和伺服器所允許的最安全通訊協定。此欄位的值應該是以逗點區隔的清單。

預設值:TLS 1.3、TLS 1.2、TLS 1.1、TLS 1.0
註: 只有當 AppScan 在 OS 上執行時,才支援 TLS 1.3:Windows Server 2022、Windows 11 或更新版本。

必要的話,可以將 SSL 3.0 新增至允許的通訊協定清單中。

將錯誤回應視為有效

AppScan® 以不同於一般頁面的方式來處理錯誤頁面(例如,不剖析鏈結)。這項設定可讓您告知 AppScan® 僅針對起始 URL 將錯誤頁面視為一般頁面,或一律視為一般頁面。

如果設定為 0,AppScan® 會將所有錯誤回應視為無效。

如果設定為 1,AppScan® 會將起始 URL 的所有錯誤回應(4xx 和 5xx)視為有效

如果設定為 2,AppScan® 會將一般頁面和起始 URL 的所有錯誤回應皆視為有效。

預設值:0

如果您的起始 URL 回應為錯誤頁面,請將設定變更為 1。

如果您要掃描作業從錯誤頁面擷取資料,並且測試頁面,請將這個設定變更為 2。

請注意,變更預設值可能會影響效能。

一般:

啟用「要排除在 Proxy 過濾器之外的 JS 要求型樣」

若設定為「true」,AppScan 會使用型樣來識別應在 Proxy 中保留(而非過濾掉)的特定 JavaScript 要求。

預設值:False

加密機密資料

若為 True,則會在透過 AppScan(SCANT、LOGIN、SEQ、ASFF)儲存或匯出的所有檔案中加密下列資料:
  • 所有表單填入器內容
  • 所有階段作業管理要求
  • 所有多步驟作業
  • 所有 TOTP 資料

若為 False,則只會加密這些檔案中的密碼及 TOTP 秘密金鑰。

預設值:True

合併冗餘測試

當設為 True 時,對於除了額外的 Cookie 之外,完全相同的兩個(或以上)要求,AppScan 只會傳送單一組測試。如果設為 False,所有這類要求都會個別測試。

預設值:True

將此設定變更為 False 會危害效能;請只有在「支援中心」指示時才這樣設定。

要排除在 Proxy 過濾器之外的 JS 要求型樣

套用在回應標頭的正規表示式,其定義 Proxy「內容類型」過濾器不應過濾的 JavaScript 要求。

預設值:Cache-Control:[ ]*([^\n\r]*)(no-store|no-cache|max-age=0)

Proxy 副檔名過濾器

這個正規表示式用來定義副檔名,以便從您記錄登入、「手動探索」或「多步驟」作業時所儲存的 URL 清單中移除。如果您將副檔名從正規表示式移除,記錄時就不會過濾掉以該副檔名作為結尾的 URL。

預設值:"\.(zip|Z|tar|t?gz|sit|cab|pdf|

ps|doc|ppt|xls|rtf|dot|mp(p|t|d|e|a|3|

4|ga)|m4p|mdb|csv|pp(s|a)|xl(w|a)|

dbf|slk|prn|dif|avi|mpe?g|mov(ie)?|

qt|moov|rmi?|as(f|x)|m1v|wm(v|f|

a)|wav|ra|au|aiff|midi?|m3u|gif|

jpe?g|bmp|png|tif?f|ico|pcx|css|

xml)$"

在極少數情況下,如果您需要在「登入」記錄中包含特定類型的檔案(例如 CAPTCHA 影像檔)以供參考,您可以將其副檔名(在此情況下是 jp?g)從正規表示式移除。

消毒日誌

從日誌中移除機密性資訊。

預設值:False

如果您必須從日誌中移除機密性資訊,請啟動這個選項,並在「機密性資訊型樣」選項中定義所要移除的型樣。

請注意,變更此設定不會影響已經產生的日誌。

消毒報告

從報告中移除機密性資訊。

預設值:False

如果您必須從報告中移除機密性資訊,請啟動這個選項,並在「機密性資訊型樣」選項中定義所要移除的型樣。

請注意,變更此設定不會影響已經產生的報告。

機密性資訊型樣

如果已啟動「消毒日誌」或「消毒報告」選項,則為定義一或多個將過濾掉日誌和報告之群組的正規表示式。

預設值:empty

如果您必須從報告或日誌中移除機密性資訊,請啟動相關選項(「消毒日誌」或「消毒報告」),並在這裡定義正規表示式中的一或多個群組。

機密性文字會取代為:**CONFIDENTIAL 1**、**CONFIDENTIAL 2**,依此類推。

機密性參數名稱

定義一或多個未顯示參數名稱的正規表示式。

預設值:refresh_token|secret|KeySecret|client_secret

IAST
啟用與 IAST 代理程式的通訊(安裝 IAST 代理程式時) 啟用此選項可透過 IAST Total(互動式應用程式安全測試)強化 DAST 掃描,明顯改善掃描和補救時間,並識別更多漏洞。

預設值:False

擁有 IAST 訂閱的任何團隊都可以選擇啟用此選項以及衆多 IAST 功能,例如 API 探索和自動問題關聯。

JavaScript

JavaScript 鏈結型樣

AppScan® 會使用各種型樣來識別 JavaScript 程式碼中的鏈結。如果您的網站使用不常見的型樣,請在這個正規表示式中定義它們。

預設值:empty

如果 AppScan® 似乎遺漏 JavaScript 程式碼中的鏈結,而且您的網站使用不常見的 JavaScript 鏈結型樣,請在此處定義一或多個型樣,以告知 AppScan® 所要搜尋的目標。

本地化:

HTML 編碼

置換您網站的 HTML 回應中所定義的編碼。

預設值:empty

如果掃描結果中的回應內容似乎已損毀,這可能表示:

1) AppScan® 未正確識別編碼方法,或者

2) 您網站的 HTML 中未正確定義編碼方法

如果要解決 1:請在「探索選項」下拉清單中選取正確方法。

如果要解決 2:請在這裡輸入正確的編碼方法。

參數與 Cookie:

將冗餘的 JSON 參數從測試排除

JSON 內容類型主體含有單一參數的多個值,這些值並不需要個別測試。如果設定為 True,AppScan® 會嘗試識別冗餘值,並限制測試至子集,以減少掃描時間。

預設值:True

如果您發現未測試到特定的重要參數,請將此設定變更為 False。

將冗餘的 XML 參數從測試排除

XML 內容類型主體含有單一參數的多個值,這些值並不需要個別測試。如果設定為 True,AppScan® 會嘗試識別冗餘值,並限制測試至子集,以減少掃描時間。

預設值:True

如果您發現未測試到特定的重要參數,請將此設定變更為 False。

追蹤標頭中的自訂參數

這項設定僅適用於使用 ADAC v. 8.7.0.1 版或更舊版本儲存的掃描。在較新的版本中,預設行為已變更為 True,而個別參數與 Cookie 的設定是在以下位置控制:配置 > 參數與 Cookie > 參數定義 > 追蹤選項 > 相符:標頭與主體(預設值)或僅主體(請參閱 參數定義)。

依預設,AppScan®(8.7.0.1 和更舊版本)只會在回應的主體中搜尋自訂參數,不會在其標頭中搜尋。如果將此設定變更為 True,則 AppScan® 也會在標頭中搜尋。

預設值:False

註:

如果 AppScan® 因為回應標頭中的參數變更而登出階段作業,則變更這項設定可以解決此問題。請注意,這可能會增加掃描時間。

只有在行內內容存在時,才在「測試」階段中追蹤動態參數

在「測試」階段期間追蹤動態參數可能會導致效能問題。因此,只有在回應行內內容時才會在「測試」階段期間追蹤動態參數。

預設值:True

只有在這種追蹤類型很重要時,才將此設定變更為 False。

Postman:

登入分析樣本大小

上傳 Postman 集合時, AppScan 會分析此集合,以嘗試識別階段作業內的型樣。AppScan 利用這個型樣,偵測何時在掃描期間登出。此設定會定義要分析多少個集合要求,以嘗試識別有效型樣。

預設值:7

如果 AppScan 無法自動識別有效的階段作業內型樣,請嘗試提高此值。

伺服器關閉偵測:

在「探索」中檢查「伺服器關閉」

可在「探索」階段期間傳送活動訊號要求,來檢查「伺服器關閉」。

預設值:True

如果 AppScan® 在「探索」階段期間發生伺服器關閉錯誤,但伺服器並未關閉,這可能是因為伺服器封鎖了經常性活動訊號要求。

如果 AppScan® 在掃描期間經常登出階段作業,這可能是因為傳送給伺服器作為活動訊號的「起始 URL」不含 Cookie。

停用這項設定可以解決此問題,但請注意,AppScan® 將無法驗證伺服器狀態。

在「測試」中檢查「伺服器關閉」

可在「測試」階段期間,傳送活動訊號要求,來檢查「伺服器關閉」。

預設值:True

如果 AppScan® 在「測試」階段期間發生伺服器關閉錯誤,但伺服器並未關閉,這可能是因為伺服器封鎖了經常性活動訊號要求。

如果 AppScan® 在掃描期間經常登出階段作業,這可能是因為傳送給伺服器作為活動訊號的「起始 URL」不含 Cookie。

停用這項設定可以解決此問題,但請注意,AppScan® 將無法驗證伺服器狀態。

探索階段重新連線嘗試

AppScan® 即將完成「探索」階段,但若干測試因為「伺服器關閉」而失敗,而且伺服器仍然關閉時,AppScan® 會嘗試連接伺服器數次。

預設值:5

如果您知道伺服器較為敏感,或發現若干測試因通訊錯誤而失敗時,掃描也因為通訊錯誤而停止,您應該增加這個數字。

要求重試間隔

重送失敗要求(包括失敗的活動訊號要求)之前的間隔(秒)。

預設值:1

如果您知道連線品質不佳或伺服器不穩定(這會導致假性無侵害攻擊結果,或涵蓋面縮小),您可以增加這個間隔以減少影響。

要求重試限制

重試傳送失敗要求的次數

預設值:2

如果您的伺服器不穩定或通訊不良,增加這項設定可以使掃描更有效率。

伺服器關閉逾時

AppScan® 無法連接至伺服器或登出階段作業時,這項設定會定義在停止掃描之前,AppScan® 嘗試重新連接或返回階段作業的時間長度(以秒為單位)。

預設值:185

如果您的連線速度較慢,或伺服器當機後很久才會重新載入,您可以增加這項設定值。

伺服器關閉活動訊號間隔

「伺服器關閉」活動訊號之間的間隔(秒)。

預設值:3 秒

最大值:60 秒

如果 AppScan® 在掃描期間發生伺服器關閉錯誤,可能是因為連線品質不佳或伺服器不穩定。增加這個間隔可以解決此問題。

測試階段重新連線嘗試

AppScan® 即將完成「測試」階段,但若干測試因為「伺服器關閉」而失敗,而且伺服器仍然關閉時,AppScan® 會嘗試連接伺服器數次。

預設值:5

如果您知道伺服器較為敏感,或發現若干測試因通訊錯誤而失敗時,掃描也因為通訊錯誤而停止,您應該增加這個數字。

階段作業管理:

Ad 網域

說明一般 Web Advert 網域的正規表示式。記錄登入序列時,會捨棄傳送至這些網域的要求。

預設值:ad\d.googlesyndication| doubleclick\.net|coremetrics\.|webtrends\ .|112\.2o7\.net|view.atdmt.com| ad.yieldmanager.com|ads.adbrite.com| oasn04.247realmedia.com| segment-pixel.invitemedia.com"

由於在掃描期間,登入序列會繼續重播,因此,您可以過濾掉這些不必要的要求,來改善掃描效率。

請注意,如果您完全刪除正規表示式,則不會過濾掉任何網域。

分析登入錄製

當您記錄登入序列(掃描配置 > 登入管理)時,ADAC 會對其進行分析並更新階段作業內偵測設定(在登入期間收到的階段作業內型樣、階段作業內要求和階段作業 ID)。

預設值:True

如果分析耗費太久時間,您可以將此設定變更為 False。但是,如果您這麼做,就必須手動配置階段作業內偵測設定。

播放登入之前清除 Cookie

決定是否要先刪除 Cookie 再重播登入序列。

預設值:True

共用靜態參數值

共用靜態參數值。用於偵測非隨機參數值,在登入期間不應加以追蹤。

預設值:|true|false|\bon\b|\boff\b|\ bout\b|checked|enabled|log\s?in|log\ s?out|exit|submit|sign|ever|disabled| agree

停用「探索」階段階段作業內緩衝

在「探索」階段期間:如果對於送出的要求,回應指出使用者已登出階段作業,AppScan 會將要求放到佇列並重送。這樣可確保盡可能掃描多個網站。

預設值:False

如果您的網站太頻繁地將使用者丟出階段作業之外,階段作業內緩衝可能會導致「探索」階段無限期地進行下去。設定此選項為 True 會使「探索」階段較為快速,但可能會減少網站涵蓋面。

多步驟作業之前的階段作業內

依預設,AppScan® 在重播多步驟作業之前會驗證階段作業內狀態。

預設值:True

如果您要以未經鑑別的使用者身分測試多步驟作業,或您的多步驟序列包括登入步驟,請將這個設定變更為 False。

重要: 如果取消選取配置 > 登入管理 > 詳細資料 > 啟動階段作業內偵測,且這項進階設定已設為 True(預設值),則在每一個多步驟作業之前會重播整個登入序列。

階段作業內活動訊號間隔

階段作業內活動訊號之間的間隔(秒)。

預設值:5

如果 AppScan® 在掃描期間登出階段作業,可能是因為連線品質不佳或伺服器不穩定。增加這個間隔可以解決此問題。

登入重試間隔

重送失敗登入要求之前的間隔 (秒)。

預設值:3

如果 AppScan® 登出階段作業,且登入重試一再失敗,這可能是因為伺服器對於頻繁的登入嘗試很敏感。增加這個間隔可以解決此問題。

多組件內容類型過濾器

為了減少不必要的記憶體耗用,會自動過濾掉某些內容類型的多組件要求(包含多個內容類型的要求)。只有在這個正規表示式中定義的內容類型才會包含在多組件要求中;所有其他內容類型都會被篩除。

沒有內容類型標頭的內容依預設會包含在內,並由下值定義:
content_without_content_type_header

預設值:text/|text/plain|application/javascript|

application/json|application/rtf|application/xml|

text/xml|content_without_content_type_header

如果有重要內容類型的要求被過濾掉,請將它新增至此正規表示式。您也可以移除不必要的內容類型,讓它們不被傳送,以減少記憶體耗用。

導覽參數主機

說明主機的正規表示式。用於偵測在登入序列期間不應加以追蹤的導覽參數(依值)。

預設值:https?://

如果網站在預設正規表示式不會過濾掉的導覽參數中使用罕見主機,您可以新增它們以改善掃描效率。

如果 您刪除該項目,則可能無法適當地識別導覽 參數。

導覽參數 Script

說明伺服器端 Script 的正規表示式,用於偵測在登入序列期間不應加以追蹤的導覽參數(依參數值)。

預設值:/[^/\.]+\.(htm|jsp|jsf|ws|dll|asp|php|do)

如果網站在預設正規表示式不會過濾掉的導覽參數中使用罕見伺服器端 Script,您可以新增它們以改善掃描效率。

如果 您刪除該項目,則可能無法適當地識別導覽 參數。

導覽參數

說明導覽參數的正規表示式,在登入序列期間不應加以追蹤。

預設值:\bnav|url|page|step|redirect|request|

location|target|argument|item|article|

goto|node|action|ctrl|control|source|

menu|frame|command

如果網站使用預設正規表示式不會過濾掉的罕見導覽參數,您可以新增它們以改善掃描效率。

修改這個正規表示式可能導致掃描涵蓋面不足或階段作業追蹤不正確。

剖析階段作業內頁面

如果設為 False,AppScan 不會剖析階段作業內頁面,而且不會更新階段作業內的頁面中,值已變更的追蹤參數或 Cookie。

預設值:True

如果您的階段作業內頁面不包含追蹤 Cookie 或參數,可以將此設定變更為 False 來改進效能。請注意,如果設為 False,AppScan 將不會更新階段作業內頁面中的 Cookie/參數值,而導致登出階段作業。

密碼參數名稱

記錄登入分析用於識別密碼參數。需要其全名。

預設值:password|pass|pswd|pwd

有時候,當您匯入登入(而非使用動作型登入記錄)時,AppScan 可能無法識別密碼參數名稱。如果發生這種情況,「掃描配置」>「自動表單填入」的「密碼」欄位將為空白。如果發生這種情況,請在此處新增完整的密碼參數名稱。

活動訊號之間的要求

在某個階段作業內偵測要求之後,AppScan® 至少會傳送此處定義的要求數目,然後才會傳送另一個階段作業內偵測要求。

預設值:1

如果因為伺服器回應太慢,而導致掃描的多數是階段作業內偵測要求(請參閱「資料流量日誌」),增加這個值可以減少掃描時間。

序列內容類型過濾器

正規表示式,用來定義在登入、多步驟序列和手動探索中將過濾掉的內容類型。

預設值:text/javascript|application/javascript|application/x-javascript|image|text/css|application/x-msdownload|application/zip|application/octet-stream|application/java-archive|application/font-|application/x-font

特殊型樣:

從「自動表單填入」排除

這裡所列的參數名稱會從「自動表單填充值」中排除。

預設值:^CFID __EVENTVALIDATION __VIEWSTATE ^CFTOKEN __EVENTARGUMENT __EVENTTARGET ^BV_ 

參數值太長會使掃描速度變慢及增加檔案大小。如果應用程式使用的參數值太長,且對於填寫表單並非必要,請將它們加入此清單中。

測試:

CSRF:有意義要求的型樣

依預設,AppScan® 會測試 POST 要求,以及其回應為「交易成功」的要求,是否為「偽造跨網站要求」。

這項設定可讓您將其他要求定義為對於「偽造跨網站要求」漏洞「有意義」(除了 POST 要求之外)。

這個定義與以下項目一起使用:「CSRF:有意義回應的型樣」。

預設值:^POST

如果您也想要測試 GET 要求是否為「偽造跨網站要求」,請變更這個正規表示式。

CSRF:有意義回應的型樣

依預設,AppScan® 會測試 POST 要求,以及其回應為「交易成功」的要求,是否為「偽造跨網站要求」。

這項設定可讓您將其他回應定義為對於「偽造跨網站要求」漏洞「有意義」(除了「交易成功」之外)。

這個定義與以下項目一起使用:「CSRF:有意義要求的型樣」。

預設值:交易成功

如果您想要測試接收其他回應類型的要求是否為「偽造跨網站要求」,請在這個正規表示式中定義它們。

差異臨界值

ADAC 經常需要比較兩個回應,並決定該回應是「類似」還是「不同」,以瞭解測試是否成功。在這些情況下,ADAC 會使用各種演算法來指派「相似性百分比」(其中 100% 表示兩個回應相同)。在某些情況下,它會根據「相似性百分比」是否高於「相似性臨界值」來決定測試結果,而在其他情況下,則根據它是否低於「差異臨界值」來決定測試結果。兩個臨界值都可以配置。

就大部分的測試而言,預設「相似性臨界值」為 95%,而預設「差異臨界值」為 75%。這表示:
  • 針對其結果是根據相似性的測試結果,「相似性百分比」為 95% 或以上表示兩個頁面是類似的。
  • 針對其結果是根據差異的測試結果,「相似性百分比」為 75% 或以下表示兩個頁面是不同的。

如果您對此設定輸入 1 到 100(百分比)之間的值,它將置換所有測試的預設「差異臨界值」。您可能也想要調整「相似性臨界值」。

預設值:0(使用 ADAC 臨界值)

如果網站沒有「動態」文字造成類似回應稍微不同,則設定低於 75 的值可能減少誤判結果。

提示: 您可能也想要調整「相似性臨界值」(請參閱以下所述)。

停用 Cookie 測試

這項設定用來完全關閉 Cookie 測試。

預設值:False

如果應用程式的 Cookie 測試導致掃描時間很長,您可以停用 Cookie 測試。不過,這麼做可能會導致遺漏安全問題(假性無侵害攻擊)。

停用靜態內容的 Cookie 測試

不要以此延伸測試頁面要求中的 Cookie。

預設值:;htm;html;ahtm;ahtml;

chtm;chtml;fhtm;fhtml;mht;

mhtm;mhtml;css;css1;js;

如果要減少掃描時間和記憶體耗用,您可以排除其他類型的頁面延伸。若是如此,請將它們新增至要排除的延伸清單,之間以分號區隔。

不測試目錄或頁面

這個選項可讓您定義正規表示式,這個選項可讓您定義正規表示式,使其免於遭受攻擊。請注意,這只會排除已定義的目錄或頁面,並不會排除任何子目錄或檔案。

預設值:/wps/[^/]*/!ut/

如果您知道某些目錄或頁面沒有漏洞,或是顧慮到測試它們可能會傷害網站的穩定性,可以藉由在這個正規表示式中定義它們,將它們排除在掃描之外。

如果要排除資料夾及其所有子資料夾,請參閱 排除的路徑和檔案

從所有回應擷取鏈結

依預設,測試階段期間,AppScan® 只會在有漏洞的回應中搜尋新鏈結。

預設值:False

如果您認為 AppScan® 可能遺漏鏈結,或其涵蓋範圍不足,您可以啟用這項設定,但如此會增加掃描時間和檔案大小。

遵循所有自動鏈結

依預設,AppScan® 只會遵循可能包含漏洞的自動鏈結*。這些包括:資訊訊框 (iFrame)、訊框和重新導向。您可以將它配置成遵循所有類型的自動鏈結。

請注意,無論此設定為何,系統都不會傳送與「要忽略的自動鏈結」中所定義之正規表示式相符的要求。

預設值:False

* 自動鏈結:網頁上瀏覽器不需要任何使用者互動,即會自動傳送的鏈結。

如果您認為網站在其他類型的自動鏈結(如 Script )中可能含有漏洞,請啟用這項設定。這將會增加掃描時間和檔案大小。

受測試實體清單

實體清單,以「垂直線」分隔。依預設會包含所有有效的實體:HttpServer | 目錄 | 路徑 | 參數 | Cookie 名稱 | Html 註解 | 要求 | ClientScript | 回應 Cookie | 鏈結 | 頁面 | 專用權升級要求 | 標頭
  • 防止特定測試在未修改測試原則的情況下執行。
  • 在數個實體類型上執行測試的情況中,假設是標頭、參數和 Cookie:若要允許測試在參數和 Cookie 上測試,但是防止它們在標頭上測試,您可以從清單中移除「標頭」。

測試後登入

於單一執行緒中傳送測試,並在每一個測試之後驗證是否在階段作業內,或傳送登入序列。

0 = False

1 = 在單一執行緒中傳送測試,然後在每一項測試之後驗證是否在階段作業內。如果已離開階段作業,則傳送登入序列。

2 = 在單一執行緒中傳送測試,然後在每一項測試之後傳送登入序列。

預設值:0

如果應用程式含有機密的階段作業,或需要經常登出以避免發生階段作業或記憶體問題,則可能需要設定 1 或 2。這會大幅增加掃描時間。

多步驟作業:驗證限制

來自「多步驟作業」序列且將在「跨網站 Scripting」測試中驗證的連續要求數上限。

預設值:0

如果不需要回應本文,請加以省略

對於特定類型的測試,它不是確認漏洞的回應內文。將這個內容儲存成掃描資料的一部分只會增加掃描大小,沒有任何好處,因此依預設,AppScan 不會在這些情況下儲存它。請注意,將此值設定為 False 可能會大幅增加掃描大小。

預設值:True

n/a

回應中忽略的型樣

這個正規表示式定義 AppScan® 分析測試回應時,將忽略的回應區段。

當比較回應來判定測試是否成功時,AppScan® 會測量整個回應中變更的百分比。如果回應非常長,且變更非常小,AppScan® 可能會忽略差異而遺漏漏洞。

預設值:<input[^>]+(__VIEWSTATE|__

EVENTTARGET|

__EVENTARGUMENT|

__EVENTVALIDATION)

[^>]+>

如果網站傳送的回應中含有不重要的冗長區段,在這裡定義它們可以增進掃描正確性和效能。

重新整理原始回應間隔

在「測試」階段期間,重新整理原始回應(透過重新傳送要求)之前的間隔(秒)。

AppScan 決定「測試」回應是否會顯示漏洞的其中一種方式為,將它與「探索」回應相比較。當「探索」回應比這裡設定的值還舊時,即會在傳送測試之前重送「探索」要求,使得更新後的「探索」回應可以用於比較。這對於「探索」回應可能會因時間而改變,且將「測試」回應與過時的「探索」回應相比較可能會導致誤判的這種狀況而言非常重要。

預設值:30(秒)

如果您確定在這種方式下應用程式的回應永不會過時,您可以將這項設定變更為零來減少掃描時間。如此永不會重送「探索」階段的要求。

傳送埠接聽器測試

依預設,AppScan® 不會傳送埠接聽器測試,因為可能失敗且需要花費時間進行驗證。

預設值:False

如果外部網站是網路的一部分,因此知道本端 IP 位址,您可以啟動這類型盲目的 SQL 注入測試。

相似性臨界值

某些測試比較其接收的回應與原始回應,以判斷回應是否類似,以及它們是否成功。對於大部分測試,相似性臨界值為 95%。在某些測試原則中,它的百分比更高。

如果您輸入 1 到 100(百分比)之間的值,它將置換個別測試的臨界值。

預設值:0(使用 AppScan 臨界值)

如果網站沒有「動態」文字造成類似回應稍微不同,則增加此百分比可能減少誤判結果。

XSS:使用瀏覽器重新驗證

對於某些跨網站 Scripting 問題,使用實際瀏覽器檢查網站的回應,可以更妥善地識別警示蹦現畫面,並減少誤判結果。

預設值:True

XSS:測試所有反映的探測

在網站回應中多次出現的內容文字,通常會有相同層次的漏洞,因此 AppScan® 僅測試其中一個。

預設值:False

如果您要對單一回應中,所有出現的內容文字進行測試,請將此設為 True。