已記錄探索

已記錄探索」功能可讓您搜索應用程式的特定部分、將 ASoC「引導」到那些區域,進而確保那些區域在 DAST 掃描中都經過測試,以及 ASoC 具有以特定順序瀏覽連結所需的資訊。

需要特定使用者輸入,或在網站只會回應不同類型的工具或裝置時,使用「已記錄探索」。

有兩種記錄資料流量的方式:
  • 使用 AppScan 活動記錄器(Chrome 或 Edge Web 瀏覽器的擴充功能)
  • 使用 HCL AppScan 資料流量記錄器 (在 Web API 中可能最適合)
在這兩種情況下,已記錄的資料流量都會儲存為 DAST.CONFIG 檔案。

或者,您也可以上傳使用 AppScan Standard 或 AppScan Dynamic Analysis Client (ADAC) 記錄,並儲存為 .EXD 檔的流量資料檔案。

當您上傳具有多個網域的檔案時,這些網域會新增至「要測試的網域」清單。只有已允許或已驗證的網域會接受測試。 ASoC 每次掃描最多只能掃描 5 個網域。

建立 ASoC 掃描時,您可以透過下三種方式來使用「已記錄探索」:
  • 使用「已記錄探索」中的檔案選項:
    • 同時使用已記錄和自動的探索階段,來進行綜合性測試」:除了自動「探索」階段之外,ASoC 也會自動探索應用程式,並測試您的記錄及其本身的探索資料。
    • 僅分析及測試已記錄的探索資料」:在掃描的「探索」階段時,僅測試記錄中包含的應用程式部分。
  • 使用 AppScan Standard 中的「手動探索」,儲存為 SCAN 檔案,並上傳檔案至 ASoC 以建立掃描。AppScan Standard 的「手動探索」與 ASoC 的「已記錄探索」類似。

已記錄探索」僅適用於 DAST 掃描。DAST.CONFIG.EXD 檔案已上傳,並在掃描精靈的「探索」階段中設定指引。請參閱 DAST 掃描配置 > 探索步驟

如果要進一步瞭解如何記錄資料流量,請參閱 記錄資料流量

多步驟探索

多步驟探索」是一種特定類型的已記錄探索,您不僅要向 ASoC 顯示要搜索哪個連結,還會顯示要以何種順序進行搜索。使用多步驟來測試網站的某些部分,您只能透過以特定順序傳送要求來連接這些網站部分,例如使用者在為商品支付費用前將其新增至購物車的線上商店。

例如,考慮網站的下列三個頁面:
  1. 使用者新增一或多個項目到購物車。
  2. 使用者填寫付款和出貨詳細資料。
  3. 使用者收到訂單已完成的確認。
第二頁只能在第一頁完成後到達。第三頁只有在第二頁完成後才能進入。這是一個序列。若要能夠測試第 2 頁和第 3 頁,ASoC 必須在每項測試之前,傳送正確的 HTTP 要求序列。
在上述範例中,您將儲存引導式探索記錄 (DAST.CONFIG),您可在這裡瀏覽第 1 頁 > 第 2 頁 > 第 3 頁ASoC 視需要從這個順序擷取必要的子序列:測試第 2 頁時,它會先傳送第 1 頁要求;測試第 3 頁時,則會傳送第 1 頁,後面接著傳送第 2 頁。
重要: 因為多步驟記錄中的任何步驟都必須排在其所有先前步驟之前,且任何特定步驟都可能在掃描中經過數百次測試,因此啟動「多步驟」可能會顯著增加掃描時間。只有在要求的順序對於取得應用程式的特定部分非常重要時,才應該使用此功能。

多個 DAST.CONFIG 檔案

您可以上傳多個檔案以進行單一掃描。如果啟動,則「多步驟」設定將套用至所有檔案,請參閱 DAST 掃描配置 > 探索步驟」。