測試選項
「配置」對話框的「測試選項」視圖。
這個視圖可讓您配置各種會影響掃描長度和全面性的設定。不過,在大部分情況下,預設值便已足夠。
設定 |
詳細資料 |
|---|---|
測試選項: |
|
使用調適性測試 |
AppScan® 可以向網站傳送數千項測試。不過,為了縮短掃描時間,它可以傳送初步的測試,智慧地判斷哪些是適合傳送的測試,哪些可以省掉。這是「調適性測試」,可以大幅縮短掃描時間,且不會犧牲有效性。 如果您想要 AppScan® 向網站傳送其所有測試,請清除此勾選框。 |
允許多回合掃描 |
AppScan® 會分析傳給應用程式之測試的回應。從這個分析中,AppScan® 往往會發現其他內容,例如,在第一「回合」掃描中無法見到的鏈結。多回合掃描可讓 AppScan® 在這個新偵測到的內容上,重複「探索」和「測試」階段。(附加的回合通常比較短,因為它只涉及新的鏈結。) 依預設,會配置「多回合掃描」,最多接受 4 回合的掃描。 請注意,只有在執行「完整掃描」時,才適用多回合掃描。如果您使用「僅探索」和「僅測試」功能,結果便是單回合掃描。 |
傳送登入頁面上的測試 |
建議您,除非應用程式會將提供無效輸入的使用者封鎖在外,或 AppScan® 測試這些頁面會變更應用程式流程,否則,請允許 AppScan® 測試登入頁面。 |
測試登入頁面時不傳送階段作業 ID |
僅在選取「傳送登入頁面上的測試」勾選框時才會啟用。建議您保持選取這個勾選框,因為在測試登入頁面時,階段作業 ID 可能妨礙測試成功。只有當您確定測試登入頁面需要有效的階段作業記號時,才清除這個勾選框。 請注意,即使選取這個勾選框,部分測試仍會附上階段作業 ID 一起傳送,以避免誤判結果。 |
|
傳送登出頁面上的測試 |
建議您,除非應用程式會將提供無效輸入的使用者封鎖在外,或 AppScan® 測試這些頁面會變更應用程式流程,否則,請允許 AppScan® 測試登出頁面。 |
| 針對每個問題只會儲存一個變式 | 依預設,AppScan 會為每個問題測試多個變式,確保全方位的漏洞偵測。若要最佳化掃描時間,您可以啟用此選項,將 AppScan 限制為在找到問題的第一個變式之前僅進行測試。雖然這樣可縮短掃描時間,但請務必注意,系統可能會遺漏某些具有不同變式的漏洞。 |
|
針對超出特定測試範圍的問題分析測試回應 |
選取之後,AppScan 會分析每個測試回應,以找出所測試特定問題之外的其他安全問題。如果應用程式很大,或掃描會產生大量誤判結果,請取消選取這個選項。 |
| 針對超出特定測試範圍的問題只會分析一個變式 | 依預設,AppScan 僅會針對更廣泛問題類型分析一個變式,以改善效率並避免冗餘。若要分析更多變式,請取消選取此選項,但請注意,這麼做會增加掃描時間。 如果選取「針對每個問題只會儲存一個變式」和「針對超出特定測試範圍的問題分析測試回應」,則系統預設會選取此選項且無法變更。 |
|
只在表單提交要求中測試 Cookie 安全問題 |
如果選取(預設值),AppScan® 只會對表單提交要求中使用的 Cookie 提交 Cookie 相關的測試。如需更高的準確性(但是會增加掃描時間),請取消選取此勾選框,AppScan® 即會對所有相關的 HTTP 要求提交 Cookie 測試。 |
|
報告漏洞元件 |
程式碼中的協力廠商元件會在「探索」階段期間識別,並顯示在「資料」視圖中。 選取此選項時(預設值),ADAC 會在「問題」視圖中報告這些元件中的已知漏洞,並針對更新提出建議。 |