创建新扫描(完整配置)

为扫描提供起始 URL 和用户凭证,选择站点类型,并验证您关于扫描站点的许可权(如果先前未执行)。

开始之前

过程

  1. 在特定应用程序页面上,单击创建扫描,然后单击 DAST 动态分析下的创建扫描,以打开向导。
  2. 单击新扫描
    单击浏览面板以指示值或根据需要更改设置。在大多情况下,缺省值已足够。完成后,单击扫描
  3. 目标:起始 URL 和域

    必须输入扫描的起始 URL。

    设置

    选项

    起始 URL
    URL 字段
    对于 Web 应用程序,请输入应开始扫描的 URL。如果以 IPv6 格式输入 URL,请用方括号 [] 括起来。例如 [2001:0000:130F:0000:0000:09C0:876A:130B]。对于 Web API,没有“起始”URL;在要扫描的服务的域中输入任何有效的 URL。
    扫描演示站点
    单击此链接可填写 AppScan 演示站点的 URL。这使您无需验证域即可运行扫描。在登录选项卡中,输入用户名 JSmith密码 Demo1234
    注: 只要您使用提供的完整 URL,运行演示站点扫描就不会计入您的许可证限制。如果您删除 ?mode=demo 开关,扫描将计入您的限制。
    仅包括此目录中及之下的链接
    选中此复选框可排除扫描时可能被发现为链接的任何外部域、并行域或子域。清除此复选框后,扫描可以包括起始 URL 以外的域,并且必须验证这些域。有关更多详细信息,请参阅域验证示例

    要测试的域

    列出将包括在扫描中的所有域。您输入的起始 URL 将自动添加到此处。必须验证所有域,除非您的网络是专用网络并且您使用的是 Presence

    如果您的站点包含的域不是起始 URL 的域,并且您希望扫描它们,请单击添加其他域以添加它们。

    每个域旁边的绿色复选标记表示已验证。对于尚未验证的域,请转到组织 > 域 > 验证新域
    注: 最近删除了选择暂存或生产环境的选项,因为不再需要。有关更多信息,请参阅 为什么我不能再指定要暂存或生产的环境?
  4. 目标:专用站点扫描

    公共站点扫描是缺省设置。如果您的站点未在因特网上提供,请单击专用网络。从连接的 Presence 列表中选择您的 Presence。

    若尚未创建 AppScan Presence,则现在可单击 Presences 链接并参考 创建 AppScan Presence 进行创建。

  5. 认证和连接:登录管理

    缺省情况下,无需登录。

    在以下情况下保留此选择:
    • 无需登录/授权,或者
    • (Web API) 授权使用固定值或长期值,例如 API 密钥或固定持有者令牌。

    设置

    选项

    登录
    需要登录:用户名和密码
    选择 ASoC 是否能够根据需要使用凭证登录而无需特殊过程。您还可以输入第三个凭证(可选)。例如:PIN# = 1234。但是,使用第三个凭证需要 ASoC 支持团队干预,并且扫描可能需要更长时间。
    注: CAPTCHA 不受支持。
    提示: ASoC 建议使用测试凭证,而不是实际用户的凭证。
    此选项与 Web API 不相关。
    需要登录:已记录的登录
    如果需要使用特殊登录过程,可选择此选项以上载 ASoC 在扫描期间登录应用程序时将使用的过程记录。您可以使用 AppScan Activity Recorder(另存为 CONFIG 文件)或 AppScan Standard(导出为 LOGIN 文件)进行记录。
    重要: 记录的登录序列必须包含以下请求:
    • 登录/授权请求
    • 其他已登录/已授权请求。此“额外”请求可帮助 AppScan 识别成功授权并在测试应用程序时保持会话。

    有关记录 CONFIGLOGIN 文件的详细信息,请参阅记录流量使用 AppScan Standard 记录登录
  6. 认证和连接:HTTP 认证

    除登录信息外,还指示应用程序是否需要 HTTP 认证(Negotiate、NTLM、Kerberos、ADFS、Basic 或 Digest)。输入用户名密码以及(可选),供 ASoC 在扫描期间使用。

  7. 认证和连接:一次性密码

    如果站点需要基于时间的一次性密码供用户登录 (MFA),请选中此复选框并填写对话框中的前四个字段

    设置

    选项

    使用 TOTP
    • 密钥
    • OTP 长度(位数)
    • 使用的散列算法(从下拉列表中选择)
    • 时间步长(以秒为单位)
    注: TOTP 是此向导中唯一支持的 OTP。如需更多 OTP 选项,您可以在 AppScan Standard 中配置扫描并上载到 ASoC。使用 OTP 在 AppScan Standard 中配置扫描时,您必须使用基于操作的登录,而不是基于请求的登录。有关详细信息,请参阅 AppScan Standard 文档。
    OTP HTTP 参数(可选)

    如果您在上一步中使用了“需要登录:记录的登录”,那么通常不需要此最后一个字段,因为在扫描开始时验证记录的登录过程时,AppScan 通常会识别 OTP 头本身。

    如果您使用了需要登录:用户名和密码,那么必须在此处添加参数。如果有多个参数,请用逗号分隔这些参数。

    可能的 OTP 头的示例:OTPvalue

    如何识别 OTP HTTP 参数?
  8. 认证和连接:通信

    设置 ASoC 可同时发送的最大请求数。

    设置

    选项

    线程数

    如果您的站点不允许此数量,请降低限制;如果您的站点完全不允许同时线程,请将限制降低为 1

    服务器通信超时
    在扫描期间自动调整
    允许 ASoC 决定在超时前等待任何特定响应的时间。这可大大减少扫描时间。
    已修复
    设置在超时前 ASoC 将等待响应的最长时间。如果站点响应缓慢并且由于短超时而导致 ASoC 缺少响应,请增大此设置。

    最大请求速率

    缺省情况下,ASoC 会尽快将其请求发送到站点。如果此限制会使网络或服务器过载,可减小其值。
  9. 认证和连接:探索

    定义 ASoC 如何在扫描期间探索站点。

    设置

    选项

    自动表单填充
    ASoC 使用 AppScan Standard 缺省表单填充参数值在站点上填充和提交表单。
    重要: 如果您正在扫描实时生产站点,我们建议您禁用此功能。有关更多详细信息,请参阅 我在扫描实时生产站点时应该进行哪些更改?
    注: 如果您在 AppScan on Cloud 中关闭了自动表单填充和扫描,它将删除表单中填写的所有信息,但登录管理数据除外。在扫描过程中,AppScan 不会自动填写表单。将此扫描导入 AppScan Standard 时,将启用自动表单填充,但表单填充数据(登录管理除外)将为空。

    类型
    自动探索
    AppScan 从起始 URL 开始自动爬取 Web 应用程序,以发现其将测试的页面。此选项与 Web API 无关;使用下一个选项。
    根据指导进行探索
    上载您自己的已记录探索阶段,供 AppScan 测试。您可以单独使用此功能,或配合自动“探索”阶段使用此功能。
    有关这两种探索类型的详细信息,请参阅 关于动态分析 (DAST)

    根据指导进行探索

    		 仅当您选择了根据指导进行探索时,此部分才会被激活。

    上载记录

    上载一个或多个 DAST.CONFIG 流量文件。有关如何记录这些内容的详细信息,请参阅记录流量。对于 Web API,最佳选项通常是 HCL AppScan 流量记录器

    文件设置

    如果您流量文件中的各请求必须以您之前记录它们的特定顺序发送,请激活多步骤。此方法将大大增加扫描持续时间,因此应仅在必要时使用。要了解多步骤与常规根据指导进行探索间的区别,请参阅 根据指导进行探索

    要激活多步骤
    • 对于每个上载的记录,单击文件名并将激活多步骤选项切换为
    如何使用记录
    除全自动“探索”阶段外,还会使用已记录的“探索”,并对其进行全面测试
    ASoC 自行运行自动探索阶段以发现应用程序,并基于这些结果以及您上载的流量文件对其进行测试。此选项与 Web API 无关;使用下一个选项。
    仅分析和测试已记录的“探索”
    ASoC 将上载的文件视为扫描程序的探索阶段。它仅会分析并创建针对已记录的流量的测试,然后对其进行测试。将没有自动探索阶段。
  10. 测试:测试策略和优化

    ASoCAppScan Standard 缺省测试策略应用于扫描。无法使用向导更改此设置。

    设置

    选项

    测试策略
    通过在 AppScan Standard 中配置扫描或通过 API 配置扫描来应用其他测试策略。无法在向导中更改测试策略。
    提示: 测试策略与应用程序策略不同。

    测试优化

    选择扫描速度和问题覆盖范围之间的权衡级别,以满足您的需求。滑块提供四个级别。缺省值为快速。有关详细信息,请参阅测试优化
    登录/注销测试 选择是否在登录和注销页面上发送测试。如果您选择在登录页面上发送测试,请指定是否发送会话标识。
  11. 测试:测试选项

    选择是否在登录和注销页面上发送测试。如果您选择在登录页面上发送测试,请指定是否发送会话标识。

  12. 首选项:计划

    指定扫描运行的时间:现在、稍后或按计划。

    设置

    选项

    立即扫描

    一旦设置和审核完成,您的扫描就会运行。

    保存以供日后使用

    完成后,您的配置将被保存。您可以稍后运行扫描。
    计划
    您的配置将保存,并且一个或多个扫描将按配置运行:
    1. 选择日期和时间。根据计算机上配置的时区输入这些设置,但请注意,在用户界面中显示时时间将转换为 UTC。
    2. 要多次运行扫描,请选中重复,然后选择:
      • 每日,并选择每日时间间隔(1-30 天)
      • 每周,并选择星期几,或
      • 每月,选择每月时间间隔,然后选择一个月中的哪一天,或一个月中的哪个工作日(第一、第二、第三、第四、最后一个)。
      注: 如果在预定时间到达时正在运行最大并发扫描数,那么扫描将在订阅允许时立即开始。
    3. 设置结束日期(扫描将运行的最后一个日期),或单击删除结束日期以使调度无限期运行。
  13. 首选项:扫描选项
    扫描选项面板中,您可以:
    • 选择将扫描作为个人扫描运行。
    • 选择在扫描完成时接收电子邮件。
    • 指定扫描启用。缺省情况下,允许干预复选框处于选中状态。这意味着,如果 ASoC 检测到采用当前设置时扫描可能产生不佳结果,那么它会提醒扫描支持团队审核这些设置。扫描状态将更改为正在审核,并在审核完成后恢复(请参阅 扫描状态)。
      • 如果您不想允许扫描启用团队进行干预,请清除此复选框。
      • 如果您允许干预,并且您认为扫描支持团队可能需要特定信息来解决问题,可以向该团队提供消息。可选。
  14. 摘要

    如果需要,编辑扫描的名称,并查看为扫描选择的设置。如有必要,单击返回至上一个面板进行调整。

  15. 单击扫描

结果

新扫描及其启动时间将添加到扫描视图,并且有一个进度条指示扫描正在运行。扫描完成后,进度条将关闭,结果会以图形方式汇总,并且(如果选中相应复选框)您将收到电子邮件通知。请参阅结果
注: 免费计划扫描时长限制为 4 小时,因此大的或者复杂站点可能无法完整地覆盖。