DAST 问题验证器

DAST 问题验证器可帮助开发人员模拟 DAST 测试,并直接在其 IDE 或浏览器中验证 AppScan 报告的 DAST 漏洞。这使他们可以调试和确认修复,而无需重新扫描,从而减少修复周期所需的时间和工作量。

关于此任务

可以用以下方式之一验证修复情况:
  1. 复制 JavaScript 并将其粘贴到浏览器中。
  2. 将 Python 脚本上载到 IDE。

使用修复验证脚本 (JavaScript) 重现问题

关于此任务

作为开发人员,您可以复制脚本并在浏览器控制台中运行修复验证脚本 (JavaScript)。

过程

  1. ASoC 用户界面 (UI) 中,找到特定问题。
  2. 转至问题 > 详细信息
  3. 修复验证部分,单击复制脚本将提供的脚本复制到剪贴板。
  4. 打开 Web 浏览器并转至目标 Web 应用程序。
  5. 登录到应用程序。
  6. F12 打开浏览器的开发者工具。
  7. 导航至开发者工具中的控制台选项卡。
  8. 将复制的脚本粘贴到控制台中。
  9. Enter 键以运行脚本。
  10. 解释脚本输出:输出将提供一条消息,指示问题仍然存在还是已解决。

使用修复验证脚本 (Python) 重现问题

开始之前

要确保 Python 脚本正常工作,需要先安装 Python 库。
注: 执行以下一次性设置活动。

安装 Python 3

  1. 访问 https://www.python.org/downloads/ 并下载适用于您系统的 Python 安装程序。
  2. 打开安装程序并按照步骤操作以完成安装。

验证 Python

要验证 Python 是否已安装并且在系统路径上是否可用,请执行以下操作:
  1. 打开终端并键入:$> python --version
  2. 此时将显示已安装的 Python 版本。例如,“Python 3.13.3”。
安装 Appscan DAST 问题验证器模块
  1. 安装 Python 后,打开一个终端。
  2. 通过运行以下命令确保存在 pip 模块:

    $> python -m pip --version

    将显示已安装的 pip 版本。例如,“pip 25.0.1”。

  3. 运行以下命令:

    $> python -m pip install appscandastissueverifier

  4. 命令成功完成后,通过运行以下命令来验证 appscandastissueverifier 模块是否已安装:

    python -m pip list appscandastissueverifier

  5. 显示以下详细信息。
    `Package Version`
 -------- ---------
`appscandastissueverifier 1.0.0`
更新 Appscan DAST 问题验证器模块

当您运行修复验证脚本并遇到与 AppScanDAST 问题验证器模块版本相关的错误时,需要使用以下命令对其进行更新:

python -m pip update appscandastissueverifier

关于此任务

按照以下步骤操作,以运行修复验证脚本 (Python)。

过程

  1. 在 ASoC 用户界面 (UI) 中,找到特定问题。
  2. 转至问题 > 详细信息
  3. 修复验证部分,单击下载将提供的脚本下载到您的系统。
  4. 在文本编辑器中打开下载的脚本。
  5. 按照脚本中的说明更改以下部分并保存脚本。 
    REPLAY_HOST  Change this to the web application’s url that needs to be tested 
SESSION_TOKENS Login to the web application in your browser and copy the cookies. Add each cookie as 
a name value pair, separated by a comma (This is a python dictionary).
  6. 打开终端并运行脚本:

    $> python replay-script.py

  7. 解释脚本输出:输出将提供一条消息,指示问题仍然存在还是已解决。