測試選項

「配置」對話框的「測試選項」視圖。

這個視圖可讓您配置各種會影響掃描長度和全面性的設定。不過,在大部分情況下,預設值便已足夠。

設定

詳細資料

測試選項:

使用調適性測試

AppScan® 可以向網站傳送數千項測試。不過,為了縮短掃描時間,它可以傳送初步的測試,智慧地判斷哪些是適合傳送的測試,哪些可以省掉。這是「調適性測試」,可以大幅縮短掃描時間,且不會犧牲有效性。

如果您想要 AppScan® 向網站傳送其所有測試,請清除此勾選框。

允許多回合掃描

AppScan® 會分析傳給應用程式之測試的回應。從這個分析中,AppScan® 往往會發現其他內容,例如,在第一「回合」掃描中無法見到的鏈結。多回合掃描可讓 AppScan® 在這個新偵測到的內容上,重複「探索」和「測試」階段。(附加的回合通常比較短,因為它只涉及新的鏈結。)

依預設,會配置「多回合掃描」,最多接受 4 回合的掃描。

請注意,只有在執行「完整掃描」時,才適用多回合掃描。如果您使用「僅探索」和「僅測試」功能,結果便是單回合掃描。

傳送登入頁面上的測試

建議您,除非應用程式會將提供無效輸入的使用者封鎖在外,或 AppScan® 測試這些頁面會變更應用程式流程,否則,請允許 AppScan® 測試登入頁面。

測試登入頁面時不傳送階段作業 ID

僅在選取「傳送登入頁面上的測試」勾選框時才會啟用。建議您保持選取這個勾選框,因為在測試登入頁面時,階段作業 ID 可能妨礙測試成功。只有當您確定測試登入頁面需要有效的階段作業記號時,才清除這個勾選框。

請注意,即使選取這個勾選框,部分測試仍會附上階段作業 ID 一起傳送,以避免誤判結果。

傳送登出頁面上的測試

建議您,除非應用程式會將提供無效輸入的使用者封鎖在外,或 AppScan® 測試這些頁面會變更應用程式流程,否則,請允許 AppScan® 測試登出頁面。

針對每個問題只會儲存一個變式

依預設,AppScan 會為每個問題測試多個變式,確保全方位的漏洞偵測。若要最佳化掃描時間,您可以啟用此選項,將 AppScan 限制為在找到問題的第一個變式之前僅進行測試。雖然這樣可縮短掃描時間,但請務必注意,系統可能會遺漏某些具有不同變式的漏洞。

針對超出特定測試範圍的問題分析測試回應

選取之後,AppScan 會分析每個測試回應,以找出所測試特定問題之外的其他安全問題。如果應用程式很大,或掃描會產生大量誤判結果,請取消選取這個選項。

針對超出特定測試範圍的問題只會分析一個變式

依預設,AppScan 僅會針對更廣泛問題類型分析一個變式,以改善效率並避免冗餘。若要分析更多變式,請取消選取此選項,但請注意,這麼做會增加掃描時間。

如果選取「針對每個問題只會儲存一個變式」和「針對超出特定測試範圍的問題分析測試回應」,則系統預設會選取此選項且無法變更。

只在表單提交要求中測試 Cookie 安全問題

如果選取(預設值),AppScan® 只會對表單提交要求中使用的 Cookie 提交 Cookie 相關的測試。如需更高的準確性(但是會增加掃描時間),請取消選取此勾選框,AppScan® 即會對所有相關的 HTTP 要求提交 Cookie 測試。

報告漏洞元件

程式碼中的協力廠商元件會在「探索」階段期間識別,並顯示在「資料」視圖中。

選取此選項時(預設值),ADAC 會在「問題」視圖中報告這些元件中的已知漏洞,並針對更新提出建議。

註: 如果您在掃描之後變更「測試選項」,系統可能會提示您重新掃描,因為並非所有變更都適用於現有的結果。