记录流量

您可以使用 AppScan Activity Recorder 浏览器扩展(适用于 Chrome 或 Edge)、HCL AppScan 流量记录器代理服务器或 AppScan Standard 来记录流量,作为 DAST 扫描的探索数据。

当您运行 DAST 扫描时,ASoC 会自动探索您的站点。有时,制作您自己的记录并上载供 ASoC 在测试站点时使用非常有用。下表总结了用于记录流量的选项,并建议了可能会发现这些选项有帮助的场景。
选项 描述 用例
AppScan Activity Recorder Chrome 和 Edge 的浏览器扩展。 记录您自己的浏览活动并另存为 DAST.CONFIG 文件。配置 DAST 扫描时,将文件上载到 ASoC
HCL AppScan 流量记录器 DAST 代理服务器。 可以按需创建流量记录器实例(例如通过 Selenium 等自动化框架),以自动记录流量并另存为 DAST.CONFIG 文件。配置 DAST 扫描时,将文件上载到 ASoC
注: 当您上载发送到 Web API 的流量记录时,选择仅运行测试阶段(在扫描设置中)。 ASoC DAST 探索阶段无法探索 Web API。
AppScan Standard 桌面应用程序 如果已安装 AppScan Standard,则可以利用其高级配置选项配置扫描并将其另存为 SCAN 文件。使用此文件在 ASoC 中创建您的 DAST 扫描。

您还可以仅记录和验证登录过程,将其另存为 LOGIN 文件,然后将其上载以用于 ASoC DAST 扫描。

使用 AppScan Activity Recorder

要使用 AppScan Activity Recorder 记录流量:
  1. 打开浏览器并安装 AppScan Activity Recorder
  2. 在新浏览器选项卡中,输入起始 URL
  3. 单击扩展图标以开始记录,并记录您的指导探索阶段。
    注: 开始记录前,您必须退出应用程序。
  4. 完成后,再次单击扩展图标以停止记录。系统会提示您保存 DAST.CONFIG 文件。

使用 AppScan 流量记录器

使用 HCL AppScan 流量记录器,您能够记录流向 Web 服务或 Web API 的流量,这些记录可以另存为 DAST.CONFIG 文件,然后用作 ASoC 扫描的探索数据。有关详细信息,请参阅HCL AppScan 流量记录器

注: 当流量记录上载到 Web API 时,选择仅运行测试阶段(在扫描设置中)。 ASoC DAST 探索阶段无法探索 Web API。

使用 AppScan Standard

有关用例和如何获取 AppScan Standard 的详细信息,请参阅 AppScan Standard

要使用 AppScan Standard 记录 ASoC 的流量:
  1. 打开配置对话框,然后使用扫描的起始 URL、登录和任何其他需要的设置配置 AppScan 扫描。
  2. AppScan Standard 中,单击手动探索,以打开内置 Activity Recorder 并开始记录。
  3. 登录应用程序,然后在扫描中单击您要测试的连接。
  4. 单击确定
  5. 审核请求列表,根据需要进行编辑,然后单击确定
  6. 保存 SCAN 文件并上载该文件,以创建 ASoC 扫描(请参阅 从扫描文件创建新扫描)。

使用 AppScan Standard 记录登录

您可以使用 ASoC 来记录应用程序的登录过程,将其导出为 LOGIN 文件,然后上载该文件以用于 ASoC 扫描。

要在 AppScan Standard 中记录登录过程:
  1. 打开配置对话框,然后使用扫描的起始 URL 配置 AppScan 扫描。
  2. 登录管理视图中,选择登录方法:已记录
  3. 单击记录,然后使用打开的内部浏览器登录应用程序。

    HTTP 请求和用户操作都会得以记录。

  4. 登录后,单击我已登录到站点

    浏览器随即关闭,AppScan 分析序列以识别可在扫描期间使用的会话中页面,用于验证 AppScan 何时注销以及何时仍处于登录状态。上述操作成功后,将出现绿色钥匙图标以表确认。

  5. 在对话框的下半部分中,单击导出以将此过程另存为 LOGIN 文件。