建立 Web 應用程式掃描

提供掃描的「起始 URL」和使用者認證、選取網站類型,以及(如果先前沒有這麼做的話)驗證您掃描網站的許可權。

開始之前

程序

  1. 在特定「應用程式」頁面上,按一下「建立掃描」,然後按一下「DAST 動態分析」下的「建立掃描」以開啟精靈。
  2. 按一下「掃描 Web 應用程式」。
    請根據需要按一下畫面來指示值或變更設定。在許多情況下,預設值即已足夠。完成後,請按一下「掃描」。
  3. 目標:起始 URL 和網域

    必須輸入掃描的起始 URL。

    設定

    選項

    起始 URL
    URL 欄位
    針對 Web 應用程式,輸入應從該處開始掃描的 URL。如果您以 IPv6 格式輸入 URL,請以方括號 [] 括住。例如,[2001:0000:130F:0000:0000:09C0:876A:130B]。
    掃描示範網站
    按一下此連結,以填寫 AppScan 示範網站的 URL。這可讓您不用驗證網域即可執行掃描。在「登入」標籤中,輸入「使用者名稱」:JSmith 和「密碼」:Demo1234
    註: 只要您使用所提供的完整 URL,執行示範網站掃描就不會計入您的授權限制。如果您移除 ?mode=demo 交換器,掃描就會計入您的限制。
    僅包含這個目錄中以及其下的鏈結。
    選取此勾選框可排除掃描時可能作為連結被人發現的任何外部、並行或子網域。清除此勾選框時,掃描可以包含起始 URL 以外的網域,而且必須驗證這些網域如需更多詳細資料,請參閱網域驗證範例

    要測試的網域
    請列出將會包含在掃描中的網域。您輸入的起始 URL 會自動新增到這裡。除非您的網路是私有的,而且您正在使用 Presence,否則所有網域都必須標示為已允許或已驗證。
    註: 每次掃描最多只能新增 5 個網域。

    如果您的網站包含起始 URL 以外的網域,而且您想要掃描這些網域,請按一下新增另一個網域來新增這些網域。

    每個網域旁邊的綠色核取記號表示已允許或已經過驗證。若為尚未經過允許或驗證的網域,請前往「組織」>「網域」,然後允許驗證網域。
  4. 目標:探索

    使用「已記錄探索」檢查應用程式的特定部分。這有助於 ASoC 找出這些區域,確保在 DAST 掃描中接受測試。這項功能也提供 ASoC 依特定順序追蹤連結所需的資訊。

    設定

    選項

    上傳記錄

    上傳一個以上的 DAST.CONFIG.EXD 流量檔案。如果要進一步瞭解如何記錄,請參閱 記錄資料流量

    檔案設定

    如果資料流量檔案中的要求必須以您記錄的確切順序傳送,請啟動「多步驟」。這個方法會大幅增加掃描的持續時間,因此請只在需要時才使用。如果要瞭解「多步驟」和一般「已記錄探索」之間的差異,請參閱已記錄探索

    若要啟動多步驟
    • 對於每個上傳的記錄,按一下檔案名稱旁的展開圖示,然後切換「進階:啟動『多步驟』」選項至「開啟」。
    選取檔案的使用方式
    同時使用已記錄和自動的探索階段,來進行綜合性測試
    ASoC 執行自己的自動探索階段來探索應用程式。它會根據這些結果您上傳的流量檔案,來測試應用程式。
    僅分析及測試已記錄的探索資料
    ASoC 會將上傳的檔案視為掃描的探索階段。其會分析和建立所記錄資料流量的測試,然後加以測試。不會有自動探索階段。
  5. 目標:私有網站掃描

    預設為公開網站掃描。如果您的網站無法在網際網路上使用,請按一下「私有網路」。從已連線的 Presence 清單中選擇您的 Presence。

    如果尚未建立 AppScan Presence,您可以藉由按一下 Presence 連結,並且參照至 建立 AppScan Presence 來立即建立。

  6. 目標:排除路徑

    從掃描中排除應用程式中的特定路徑。您可以將 URL(完整路徑,可包括查詢)或「正規表示式」新增到排除的路徑清單中,來過濾自動「探索」階段的範圍。執行這個動作的可能原因如下:

    • 因為它們仍在開發中,您知道它們有問題,不想立即掃描它們
    • 因為您知道它們沒有問題,且您要縮短掃描時間
    • 將掃描限制於應用程式的特定部分,以縮短掃描時間

    您也可以併入要掃描的特定路徑,做為排除的路徑的一個例外。

    顯示新增一個排除項目與一個例外的配置

    設定

    選項

    + 新增路徑

    在清單下方顯示選項以將路徑做為排除項目或例外新增至掃描。
    排除項目 從掃描中排除列出的路徑。任何鏈結,只要符合配置排除的路徑,便會從掃描中過濾掉。
    • 路徑:輸入路徑或正規表示式。如果路徑是正規表示式,請選取 RegEx 切換按鈕。
    • 說明(選用):新增將顯示在「排除路徑」清單中的說明。
    • 排除項目:選取圓鈕以新增排除項目,然後按一下「新增」。除非您定義任何例外,否則將會從掃描中排除列出的路徑及其子目錄。
    例外 用來併入清單的較高位置已排除之路徑內的特定目錄或檔案。
    • 路徑:輸入路徑或正規表示式。如果路徑是正規表示式,請選取 RegEx 切換按鈕。
    • 說明(選用):新增將顯示在「排除路徑」清單中的說明。
    • 例外:選取圓鈕以將例外新增至清單的較高位置已排除之路徑內的特定目錄,然後按一下「新增」。列出的路徑將併入掃描中。請注意,「例外」必須在「排除項目」之下,才會生效。
    註:
    • 只有在您要併入已排除之路徑內的目錄或檔案時,才需要使用「例外」。例如,如果您已排除 https://demo.testfire.net/bank,您可以新增 https://demo.testfire.net/bank/queryxpath.jsp 作為清單中較低位置的「併入項目」,以便將這個子目錄併入掃描中。
    • 如果您將「排除項目」新增到掃描的「探索」和「測試」階段之間,即使已探索過排除的路徑,AppScan 也不會測試這些路徑。
    • 如果清單中兩個項目之間有衝突,較低的項目優先。按一下清單中的項目並拖曳,即可上下移動項目,並視需要調整項目的順序。
  7. 鑑別和連線功能:登入管理

    依預設,不需要登入。如果不需要登入/授權,請保留選項不變。

    設定

    選項

    登入
    需要登入:使用者名稱與密碼
    選取 ASoC 是否可以視需要使用認證登入,而且沒有特殊程序。您也可以輸入第三認證(選擇性)。例如:PIN# = 1234。然而,使用第三認證需要 ASoC 支援團隊介入,而且掃描可能需要更長時間。
    註: 不支援 CAPTCHA。
    提示: ASoC 建議使用測試認證,而不是實際使用者的認證。
    需要登入:已記錄的登入
    若需特殊登入程序,請選取此選項來上傳程序記錄,ASoC 在掃描期間登入應用程式時,就必須使用此程序記錄。您可以使用AppScan 活動記錄器(儲存為 CONFIG 檔)或 AppScan Standard (匯出為 LOGIN 檔)來記錄。
    重要: 記錄的登入序列必須包含下列要求:
    • 登入/授權要求
    • 其他登入/授權要求。這個「額外」要求有助於 AppScan 在測試應用程式時,識別成功的授權和維護階段作業。

    請參閱 記錄資料流量使用 AppScan Standard 記錄登入,瞭解記錄 CONFIGLOGIN 檔的詳細資料。
  8. 鑑別和連線功能:HTTP 鑑別

    除了「登入」資訊之外,指出應用程式是否需要 HTTP 鑑別(Negotiate、NTLM、Kerberos、ADFS、Basic 或 Digest)。輸入要讓 ASoC 在掃描期間使用的使用者名稱密碼,以及網域(選擇性)。

  9. 鑑別和連線功能:一次性密碼

    若您的網站需要時間型一次性密碼供使用者登入 (MFA),請選取此勾選框,並填寫對話框的前四個欄位

    設定

    選項

    使用 TOTP
    • 秘密金鑰
    • OTP 長度(位數)
    • 使用的雜湊演算法(從下拉清單中選取)
    • 時間步驟(以秒數為單位)
    註: TOTP 是此精靈唯一支援的 OTP。如需更多 OTP 選項,您可以在 AppScan Standard 中配置掃描,並上傳至 ASoC。使用 OTP 在 AppScan Standard 中配置掃描時,您必須使用動作型登入,而非要求型登入,詳細資訊請參閱 AppScan Standard 說明文件。
    OTP HTTP 參數(選用)

    若您在前一個步驟中使用「需要登入:已記錄登入」,則通常不需要最後一欄,因為基本上 AppScan 在掃描開始,驗證已記錄登入程序時,就會識別 OTP 標頭。

    若您使用「需要登入:使用者名稱和密碼」,則您必須在此新增參數。若有超過一個參數,請以逗號分隔。

    可能的 OTP 標頭範例:OTPvalue

    如何識別 OTP HTTP 參數?
  10. 鑑別和連線功能:通訊

    設定 ASoC 能夠同時傳送至網站的要求數上限。

    設定

    選項

    執行緒數

    如果您的網站不允許此數量,請降低限制;如果您的網站完全不允許同時執行緒,請將限制降到 1

    伺服器通訊逾時
    掃描期間自動調整
    允許 ASoC 決定在逾時之前等待任何特定回應的時間長度。這可以大幅降低掃描時間。
    已修正
    設定 ASoC 在逾時之前等待回應的時間上限。如果網站的回應速度緩慢,且 ASoC 由於逾時時間較短而缺少回應,請提高此設定。

    要求率上限

    依預設,ASoC 會儘快將其要求傳給網站。若此限制使您的網路或伺服器超載,您可以減少限制。
  11. 鑑別和連線功能:表單填入

    選擇 ASoC 是否應在掃描的探索階段自動填寫使用者輸入表單。

    設定

    選項

    自動表單填入
    ASoC 使用 AppScan Standard 的預設表單填入參數值在網站上填入並提交表單。
    重要: 如果您正在掃描即時正式作業網站,建議您停用此功能。如需詳細資料,請參閱 掃描即時正式作業網站時,我應該進行哪些變更?
    註: 如果您關閉 AppScan on Cloud 中的自動表單填入並進行掃描,除了登入管理資料以外,將會移除表單中填入的所有資訊。AppScan 不會在掃描期間自動填入表單。當您將此掃描匯入 AppScan Standard 時,即會啟用自動表單填入,但除了登入管理之外,表單填入資料將會為空白。
  12. 測試:測試原則和最佳化

    定義將在測試期間傳送至應用程式的測試集合(測試原則),以及在速度對您而言比掃描深度更為重要時,在產品生命週期中,有時會套用最佳化以進行更快速的掃描。

    設定

    選項

    測試原則
    根據所需涵蓋範圍,從五個預先定義的測試原則當中選取一個,或選擇一個自訂原則。預設值為「預設」,包含除了侵入式測試及埠接聽器測試以外的所有測試。如需詳細資料,請參閱測試原則
    提示: 測試原則與應用程式相符性原則不同。

    測試最佳化

    根據需要,選取在掃描速度和問題範圍之間的取捨範圍。調節器提供四個等級。預設為快速。如需詳細資料,請參閱測試最佳化
  13. 測試:測試選項

    選擇是否傳送登入和登出頁面上的測試。如果您選擇傳送登入頁面上的測試,請指定是否傳送階段作業 ID。

    設定

    選項
    登入/登出測試 選擇是否傳送登入和登出頁面上的測試。如果您選擇傳送登入頁面上的測試,請指定是否傳送階段作業 ID。
    報告漏洞元件 AppScan 會尋找第三方元件中的漏洞,並建議更新。
  14. 喜好設定:排程

    指定掃描執行時間:現在、稍後或排程。

    設定

    選項

    立即掃描

    一旦設定和檢閱完成,系統就會執行您的掃描。

    儲存以便稍後使用

    完成後會儲存您的配置。您可以稍後再執行掃描。
    排程
    系統會儲存您的配置,並依配置執行一項或多項掃描。
    1. 選取一個日期和時間。請根據您機器上配置的時區來輸入這些資料,但請注意,使用者介面中顯示的時間會轉換成 UTC。
    2. 如果要多次執行掃描,請選取重複,然後選擇:
      • 每日,並選取每日間隔 (1-30 天)
      • 每週,並選取日子,或
      • 每月,選取每月間隔,然後選取月份的數字日期,或月份的某工作日(第一、第二、第三、第四、最後一個)。
      註: 當排定的時間到達時,如果並行掃描的數目已達到上限,掃描勍會在您的訂閱允許時立即開始。
    3. 設定結束日期(執行掃描的最後日期),或按一下移除結束日期,讓排程無限期執行。
  15. 喜好設定:掃描選項
    在「掃描選項」畫面中,您可以:
    • 選擇以個人掃描形式執行掃描。
    • 選擇在掃描完成時接收電子郵件。
    • 指定掃描啟用。依預設,會選取「容許人為介入」勾選框。這表示如果 ASoC 偵測到掃描在目前設定中可能產生不良結果,就會警示掃描啟用團隊來檢閱結果。然後,掃描狀態會變更為檢閱中,並在檢閱完成時回復(請參閱 掃描狀態)。
      • 如果不希望讓掃描啟用團隊介入,請清除勾選框。
      • 如果您容許人為介入,而且您認為團隊需要特定資訊來解決問題,您可以將訊息包含進團隊。選用。
  16. 摘要

    視需要編輯掃描名稱,並檢閱為掃描選取的設定。如有需要,按一下返回上一個畫面以進行調整。

  17. 按一下「掃描」。

結果

新掃描會連同其開始時間新增至掃描視圖,並且會有進度列指出掃描正在執行中。掃描完成時進度列會關閉,結果會彙總在圖形中,且(如果選取的話)您會收到電子郵件通知。請參閱結果
註: 免費計劃掃描的時間長度限制為四小時,因此這些掃描可能無法完全涵蓋大型或繁複網站。