记录流量
您可以使用 AppScan Activity Recorder 浏览器扩展(适用于 Chrome 或 Edge)、HCL AppScan 流量记录器代理服务器或 AppScan Standard 来记录流量,作为 DAST 扫描的探索数据。
当您运行 DAST 扫描时,ASoC 会自动探索您的站点。有时,制作您自己的记录并上载供 ASoC 在测试站点时使用非常有用。下表总结了用于记录流量的选项,并建议了可能会发现这些选项有帮助的场景。
选项 | 描述 | 用例 |
---|---|---|
AppScan Activity Recorder | Chrome 和 Edge 的浏览器扩展。 | 记录您自己的浏览活动并另存为 DAST.CONFIG 文件。配置 DAST 扫描时,将文件上载到 ASoC。 |
HCL AppScan 流量记录器 | DAST 代理服务器。 | 可以按需创建流量记录器实例(例如通过 Selenium 等自动化框架),以自动记录流量并另存为 DAST.CONFIG 文件。配置 DAST 扫描时,将文件上载到 ASoC。注: 当您上载发送到 Web API 的流量记录时,选择仅运行测试阶段(在扫描设置中)。 ASoC DAST 探索阶段无法探索 Web API。
|
AppScan Standard | 桌面应用程序 | 如果已安装 AppScan Standard,则可以利用其高级配置选项配置扫描并将其另存为 SCAN 文件。使用此文件在 ASoC 中创建您的 DAST 扫描。您还可以仅记录和验证登录过程,将其另存为 |
使用 AppScan Activity Recorder
要使用 AppScan Activity Recorder 记录流量:
- 打开浏览器并安装 AppScan Activity Recorder。
- 在新浏览器选项卡中,输入起始 URL。
- 单击扩展图标以开始记录,并记录您的指导探索阶段。注: 开始记录前,您必须退出应用程序。
- 完成后,再次单击扩展图标以停止记录。系统会提示您保存 DAST.CONFIG 文件。
使用 AppScan 流量记录器
使用 HCL AppScan 流量记录器,您能够记录流向 Web 服务或 Web API 的流量,这些记录可以另存为 DAST.CONFIG
文件,然后用作 ASoC 扫描的探索数据。有关详细信息,请参阅HCL AppScan 流量记录器。
注: 当流量记录上载到 Web API 时,选择仅运行测试阶段(在扫描设置中)。 ASoC DAST 探索阶段无法探索 Web API。
使用 AppScan Standard
有关用例和如何获取 AppScan Standard 的详细信息,请参阅 AppScan Standard
要使用 AppScan Standard 记录 ASoC 的流量:
- 打开配置对话框,然后使用扫描的起始 URL、登录和任何其他需要的设置配置 AppScan 扫描。
- 在 AppScan Standard 中,单击手动探索,以打开内置 Activity Recorder 并开始记录。
- 登录应用程序,然后在扫描中单击您要测试的连接。
- 单击确定。
- 审核请求列表,根据需要进行编辑,然后单击确定。
- 保存
SCAN
文件并上载该文件,以创建 ASoC 扫描(请参阅 从扫描文件创建新扫描)。
使用 AppScan Standard 记录登录
您可以使用 ASoC 来记录应用程序的登录过程,将其导出为 LOGIN
文件,然后上载该文件以用于 ASoC 扫描。
要在 AppScan Standard 中记录登录过程:
- 打开配置对话框,然后使用扫描的起始 URL 配置 AppScan 扫描。
- 在登录管理视图中,选择登录方法:已记录。
- 单击记录,然后使用打开的内部浏览器登录应用程序。
HTTP 请求和用户操作都会得以记录。
- 登录后,单击我已登录到站点。
浏览器随即关闭,AppScan 分析序列以识别可在扫描期间使用的会话中页面,用于验证 AppScan 何时注销以及何时仍处于登录状态。上述操作成功后,将出现绿色钥匙图标以表确认。
- 在对话框的下半部分中,单击导出以将此过程另存为
LOGIN
文件。