常見問題

一些常見的問題。

一般

免費試用訂閱的限制是什麼?

為什麼我的掃描「已排入佇列」?

我的掃描為何會失敗,狀態為何會變成「檢閱中」?掃描為何「由掃描啟用團隊處理」?

掃描失敗時會發生什麼事?

AppScan 是否支援掃描需要用戶端憑證的網站?

我可以擷取已刪除掃描的掃描結果嗎?

我重新掃描之後可以擷取前一次掃描的掃描結果嗎?

掃描要多久才能完成?

我的掃描似乎花了很長的時間。是不是卡住了?

如果我不刪除掃描,掃描會保留在資料庫中多久?

ASoC 使用哪些 IP?

ASoC 會測試哪些安全問題?

為何我的應用程式風險評級為「不明」?

DAST

為什麼我無法再將環境指定為「暫置」或「正式作業」?

掃描即時正式作業網站時,我應該進行哪些變更?

測試最佳化:如果它的掃描速度更快,為何我不應該一律使用它?

測試最佳化:我是否可以預期在相同網站上的兩個最佳化掃描結果完全相同?

OTP:如何識別 OTP HTTP 參數?

DAST 掃描支援哪些通訊協定?

ASoC 支援連線至 ASoC 服務的是哪個 TLS 通訊協定?

為什麼我的重新掃描中「中嚴重性」問題數量增加?

SAST 與 SCA

何謂靜態分析 IRX 檔案以及它包含什麼內容?

SCA 問題的 CVSS 版本?

一般

免費試用訂閱的限制是什麼?

30 天免費試用是評估 ASoC 的絕佳方式,可讓您在網站或應用程式上執行所有類型的 ASoC 掃描(SAST、DAST 和行動式),並且查看結果的摘要報表。有下列限制:
  • 摘要報告」會列出找到的所有安全問題,但是不會列出問題的詳細資料和建議的補救作業。付費訂閱的完整報告會包含這些資訊。
  • 無法取得「法規報告」。
  • SAST 掃描結果不會列出使用的開放原始碼程式庫。
  • 私有網站掃描(網際網路上無法掃描網站)未啟用。
  • 一次只能執行一個掃描。
  • 掃描的總數限制為五個。
  • 訂閱在 30 天後到期。

為什麼我的掃描「已排入佇列」?

部分訂閱會限制可同時執行的掃描數目(並行掃描)。如果您在達到並行掃描的數量上限時啟動掃描,則新掃描會排入佇列中。您的訂閱允許之後,排入佇列的掃描會依照您啟動的順序自動執行。

請注意,可以排入佇列的掃描數目上限也取決於您的訂閱。當佇列已滿時,您無法啟動其他掃描。

佇列的順序無法編輯,而且會依照掃描開始的順序。

免費試用使用者一次只能執行一個掃描,且無法將掃描排入佇列。

我的掃描為何會失敗,狀態為何會變成「檢閱中」?掃描為何「由掃描啟用團隊處理」?

如果 ASoC 偵測到在目前的設定之下,自動化程序可能會產生不好的結果,則掃描狀態會變更成檢閱中。我們的「掃描啟用團隊」會檢閱設定,並可能加以修改以獲得更好的結果。在這個階段,您無需輸入任何內容,且請勿取消掃描,因為這將會取消檢閱。在檢閱好設定後(通常是在幾小時內),掃描會繼續進行並完成。

掃描失敗或在檢閱中的可能原因包括:
  • 登入認證無效
  • 登入需要第三認證或其他特殊登入程序
  • 登入使用 CAPTCHA(不支援 CAPTCHA;如果您的登入使用 CAPTCHA,則您必須將其停用以便進行掃描)。
  • 無效的應用程式檔案
  • HTTP 鑑別認證無效或遺漏
  • 伺服器無回應或閘道錯誤(ASoC 會傳送大量要求,因此網站/應用程式必須穩定,並且能夠應付龐大流量)
  • IP 遭到封鎖(請務必將所使用的 IPASoC 列入容許清單)
  • 帳戶鎖定
  • 結果需要手動驗證
  • 您選取的「測試集」不適用於您的網站/應用程式
  • 專用網站掃描:AppScan Presence 非作用中

很明顯地,如果可以避免這些問題,您的掃描就更能快速自動完成。將 ASoC 掃描併入自動化程序這點特別重要,能夠盡可能縮短掃描時間。

掃描失敗時會發生什麼事?

  • 您的帳戶不會被收費。
  • 如果有掃描失敗的診斷原因,系統會通知您以便您能加以修正。

AppScan 是否支援掃描需要用戶端憑證的網站?

很抱歉,AppScan 不支援掃描需要用戶端憑證的網站。

我可以擷取已刪除掃描的掃描結果嗎?

不可以。當您按一下「垃圾桶」圖示時,結果即會從資料庫中刪除。

我重新掃描之後可以擷取前一次掃描的掃描結果嗎?

不可以。當您重新掃描應用程式時,先前的結果會從資料庫中刪除。

掃描要多久才能完成?

視應用程式大小及複雜性而定,會需要從幾分鐘到幾天。您可以選擇在掃描完成時接收電子郵件。

我的掃描似乎花了很長的時間。是不是卡住了?

監視系統會檢查掃描進度,以確保停止沒有進展的掃描。如果掃描看起來仍在執行,應該是在執行中。

如果我不刪除掃描,掃描會保留在資料庫中多久?

使用者所上傳的檔案(如 APK、IPA、IRX、SCAN 和 SCANT)會快取在服務中最多 60 天,以便進行疑難排解。掃描結果會永久儲存在服務中,除非使用者自行刪除,或是帳戶遭到刪除。
註: 從 2020 年 7 月 1 日起,在個人掃描中發現的問題會在 30 天之後刪除,除非您在該時間內將掃描升級。

ASoC 使用哪些 IP?

請參閱系統需求

ASoC 會測試哪些安全問題?

下表顯示每個技術所測試的安全問題。
DAST SAST IAST
  • 功能濫用
  • 強制入侵
  • 緩衝區溢位
  • 內容偽裝
  • 認證/階段作業預測
  • 偽造跨網站要求
  • 跨網站 Scripting (XSS)
  • 阻斷服務
  • 目錄檢索
  • 格式字串
  • HTTP 回應分割
  • 資訊洩漏
  • 不安全檢索
  • 鑑別不足
  • 授權不足
  • 階段作業期限不足
  • 傳輸層保護不足
  • 整數溢位
  • LDAP 注入
  • 郵件指令注入
  • 惡意內容測試
  • 空值位元組注入
  • OS 接管
  • 路徑遍訪
  • 可預測的資源位置
  • 遠端檔案併入
  • 伺服器配置錯誤
  • 階段作業固定
  • SOAP 陣列濫用
  • SQL 注入
  • SSI 注入
  • URL 重新導向程式濫用
  • XML 屬性爆發
  • XML 實體擴充
  • XML 外部實體
  • XML 注入
  • XPath 注入
  • AppDOS
  • 瀏覽器快取機密性資訊
  • 註解顯示機密性資訊
  • 配置問題
  • 跨網站 Scripting (XSS)
  • DB 連線字串操作
  • 電子郵件網路釣魚
  • 電子郵件篡改
  • 需要編碼
  • 公開 Web 服務
  • 檔案篡改
  • 檔案上傳
  • 分割 HTTP 要求
  • 分割 HTTP 回應
  • LDAP 注入
  • 開放式重新導向
  • OS 指令注入
  • 路徑遍訪潛在商業邏輯問題(亦涵蓋不安全直接物件參照)
  • 專用權升級
  • RegEx 注入
  • 移除測試碼
  • SecondOrder 注入
  • 機密資料曝光
  • 機密資料儲存在日誌中
  • 機密性資訊顯示在錯誤訊息中
  • 階段作業管理逾時值太大
  • SQL 注入
  • 未加密通訊
  • URL 篡改
  • 使用加密不安全亂數產生器
  • 使用隱藏欄位
  • 使用不安全加密法演算法
  • 使用不安全原生程式碼
  • 低強度存取控制
  • 低強度鑑別
  • XML 注入
  • XPath 注入
  • XSLT 注入
  • 不正確的伺服器標頭
  • 偽造跨網站要求
  • 跨網站 Scripting (XSS)
  • 僅限 HTTP Cookie
  • 不安全的 Cookie
  • 不安全的登入
  • 不安全的 Cookie
  • LDAP 注入
  • OS 接管
  • 路徑遍訪
  • 階段作業固定
  • SQL 注入
  • 信任界限違規
  • 低強度加密
  • 低強度亂數
  • XML 外部實體
  • XPath 注入

為何我的應用程式風險評級為「不明」?

應用程式的風險評級會根據兩個因素來計算:
  • 找到的問題(由 ASoC
  • 業務衝擊(由使用者指派)
如果尚找不到任何問題,或如果「業務衝擊」為「未指定」(預設值),則「風險評級」將會是「不明」。如果要變更業務衝擊,請參閱風險評級

DAST

為什麼我無法再將環境指定為「暫置」或「正式作業」?

DAST 掃描配置直到最近都還包括「暫置」或「正式作業」環境的選擇。這是為了降低掃描影響您的網站穩定性的風險。精靈現在提供的新配置選項使此設定變得多餘,因此已將其移除。相反地,如果您正在掃描正式作業網站,可以考慮進行下列配置變更:
  • 「探索」>「自動表單填入」中,清除核取方塊以停用此選項。
  • 「通訊」>「最大要求率」中,預設值對於大多數正式作業網站應該沒問題,但您可以考慮減少每秒允許的最大要求數,以減少網站流量。

如需更多詳細資料和建議,請參閱下一節。

掃描即時正式作業網站時,我應該進行哪些變更?

如果可能,建議您在暫置網站上執行 DAST 掃描,而不是在正式作業網站上執行。在即時正式作業網站上執行 DAST 掃描可能會影響網站穩定性。必要時,考量下列幾點可協助您有效配置正式作業網站掃描。

資料庫可能充滿掃描期間傳送的人工資訊

您可以採取下列預防措施來減少這方面的影響:
  1. 「探索」>「自動表單填入」中清除核取方塊。

    這可確保 ASoC 不會自動填寫表單而提交可能會塞爆資料庫、公佈欄或線上討論區系統的資料,也不會將不想要的電子郵件傳至管理員或控管者的帳戶。不過,您應該知道,這麼做將限制 ASoC 到達網站區域(藉由提交表單來存取)的能力。在這個作業模式中,ASoC 只會掃描遵循連結(包含或不含參數)所能存取的網站區域。

  2. 「通訊」>「最大要求率」中,請考慮減少每秒允許的最大要求數。
  3. 建立測試帳戶。
    使用測試帳戶可使資料庫變更的追蹤更加容易(例如,確保不會實際訂購服務),以及協助網站管理者在掃描之後清除網站。建立帳戶時,請考慮執行下列部分或全部操作:
    • 限制從資料庫中只能存取測試記錄,以便還原修改過的記錄。
    • 確定將會刪除測試帳戶所建立的新記錄。
    • 確定將會忽略測試帳戶的採購單(或其他交易)。
    • 如果交易具有影響力(例如處理股票時),請只允許帳戶存取測試記錄。
    • 如果網站有討論區,請只允許測試帳戶存取測試討論區,這樣一來真正的客戶才不會看到測試階段期間所建立的測試。
    • 如果網站會針對不同的帳戶提供不同的專用權,請設定多個測試帳戶,賦予不同的專用權。這可確保能夠進行更全面的網站掃描。
    • 請勿建立具有管理者層級存取權的測試帳戶。

電子郵件氾濫的風險

當測試使用電子郵件通知的頁面時,ASoC 會產生許多要求,且可能使網站的電子郵件伺服器超載。如果可行,暫時變更所測試頁面上的電子郵件位址,以使電子郵件傳送到無效的電子郵件位址。

測試最佳化:如果它的掃描速度更快,為何我不應該一律使用它?

測試最佳化在您需要更快速的結果時很棒,但是不如非最佳化掃描一般的徹底。我們建議在速度很重要時使用最佳化掃描,但是您也可以在定期間隔以完整掃描來備份。

測試最佳化:我是否可以預期在相同網站上的兩個最佳化掃描結果完全相同?

因為我們的團隊會持續分析並更新設定,所以每次 AppScan 更新都會有改善的最佳化設定,因此即使網站未變更,結果也不一定會相同。不過,在相同的最佳化層次下,不太可能有稍早掃描中顯示出問題的測試,在稍後的掃描被過濾掉的情形發生。

OTP:如何識別 OTP HTTP 參數?

針對使用 OTP(一次性密碼)的 DAST 網站掃描,AppScan 需要知道包含 OTP 的參數名稱(以便能夠登入應用程式),並且通常會在驗證「已記錄的登入」時識別它。如果無法這樣做,或如果您使用自動登入而非已記錄的登入,則必須自行新增參數。

若要識別參數,請執行下列動作:
  1. 瀏覽至應用程式的登入頁面。
  2. 按一下 F12 以開啟瀏覽器的開發人員工具窗格(在主要瀏覽器窗格的右側或下方開啟)。
  3. 按一下「元素」標籤以檢視 HTML 程式碼。

    選取程式碼的一部分時,會在主要瀏覽器窗格中強調顯示該元素。

  4. 尋找強調顯示 OTP 欄位的元素。
    範例:
    <input type="text" name="OTPvalue" value="">
  5. name 參數的值(不含引號)是您需要的 OTP HTTP 參數。
    範例:
    OTPvalue
  6. 如果有多個 OTP HTTP 參數,請以逗點區隔它們。

DAST 掃描支援哪些通訊協定?

ASoC 可以掃描需要 TLS 1.0、1.1 和 1.2 的應用程式。

目前不支援掃描需要 TLS 1.3 的應用程式。

ASoC 支援連線至 ASoC 服務的是哪個 TLS 通訊協定?

ASoC 支援連線至服務的 TLS 1.2。

為什麼我的重新掃描中「嚴重性」問題數量增加?

原本使用 DAST 引擎 v10.2.0 之前的版本執行重新掃描時,在重新掃描中發現的「中嚴重性」問題比原始掃描中更多。

AppScan DAST 引擎 10.2.0 版開始,CWE 問題嚴重性和 CVSS 評分是以 CVSS 3.1 版為基礎。使用舊版 DAST 引擎執行的掃描採用 CVSS 2.0 評分。一些在舊版中被指定為「低嚴重性」的問題在 10.2.0. 版中被指定為「中嚴重性」,導致「中嚴重性」問題增加。這會在未來的 DAST 引擎版本中進行變更。

SAST 與 SCA

何謂靜態分析 IRX 檔案以及它包含什麼內容?

IRX 是一個安全且加密的 zip 保存檔,其中包含執行程式完整靜態分析的必要資訊。在建立後待用及傳輸至雲端期間(透過 SSL)會進行加密。

IRX 保存檔在內部包含這些檔案和構件:

  • 針對可部署的程式構件的專有及模糊呈現,這是從您已部署的原始碼(例如,Java 位元組碼或 .Net MSIL)所建置。如果要瞭解靜態分析掃描支援哪些語言,請參閱 靜態分析的系統需求
  • 所有與程式一同部署的執行時期 Script 檔都可加以分析以找出安全漏洞(例如 .js (Javascript) 或 .rb (Ruby) 檔案)。
  • Static Analyzer 配置檔,其中說明應用程式或專案階層以及程式的關係或相依關係。這可在應用程式內跨越專案界限進行精確且完整的安全分析。
  • 在建立保存檔期間所產生的 Static Analyzer 日誌檔(用於診斷和支援)。

SCA 問題的 CVSS 版本?

儘管 ASoC 會顯示為 DAST 問題評分的 CVSS 版本,但有時可能不會顯示 SCA 問題評分的 CVSS 版本。