启动 IAST 会话

在应用程序服务器上安装 IAST 代理程序,并配置扫描。

开始之前

如果将多台服务器用于单个 IAST 监视会话,则可以将代理从一台服务器复制到另一台服务器,或者下载单独的代理。这两种方法都受支持。
Support: 请参阅 IAST 的系统要求
注: 从技术上讲,IAST 监控会话在安装完成后立即“启动”,但在应用程序服务器上部署代理程序之前,不会发现任何问题。

过程

  1. 如果您尚未这样做,请为扫描创建应用程序
  2. 应用程序视图中,单击创建扫描以打开向导,然后单击 IAST 交互式分析下的部署代理程序
  3. 选择 JavaKubernetes.NETPHPNode.js,并单击下载将相关代理程序文件保存到您的计算机上。
    创建供下载的文件的过程可能需要一些时间,但是下载会自动开始。
    注: 下载的代理包含一个在多台服务器上对同一会话有效的密钥,因此您可以将代理复制到多台服务器。如果为同一会话下载另一个代理,则新代理将拥有一个新密钥,但新旧密钥对该会话都有效。
  4. 在应用程序服务器上部署 IAST 代理
    IAST 代理现在正监视发送到服务器的流量。您可以在应用程序选项卡中的扫描条目中看到此确认状态。当您运行系统测试或 DAST 扫描时,问题将被识别并添加到扫描条目中。
    重要: IAST 代理程序通过监控到应用程序的流量来发现问题。它本身不会生成请求。安装 IAST 代理程序后,通常会在功能测试、QA 和 DAST 扫描期间发现问题。
    注: IAST 扫描不会自动停止。它会持续不断地监控流量。您可以通过在 ASoC 用户界面中停止 IAST 会话来禁用监控。然而,尽管这会禁用大多数 IAST 代理程序活动,但该代理程序会继续与 ASoC 通信,以检测会话何时重新启动。

操作

创建扫描后,操作下拉菜单将根据情况提供以下选项:
  • 生成新密钥:如果下载的密钥丢失。
    注: 如果生成新密钥,则上一个密钥将无效。
  • 停止:停止正在运行的扫描,而不删除。您可以稍后再次开始扫描。如果需要有关当前扫描结果的报告,请转至所有问题选项卡。
  • 开始:开始停止的扫描(许可证允许)。扫描的问题计数器从零开始计数。
  • 取消:删除扫描。