DAST 問題驗證工具

DAST 問題驗證工具可協助開發人員模擬 DAST 測試,並驗證由 AppScan 直接在其 IDE 或瀏覽器內回報的 DAST 漏洞。這可讓他們不須重新掃描即可除錯和確認修正,減少修正週期所需的時間和心力。

執行這項作業的原因和時機

您可以採用以下其中一種方式來驗證修正:
  1. 複製 JavaScript,再貼到瀏覽器中。
  2. 將 Python 指令碼上傳至 IDE。

使用修正驗證指令碼 (JavaScript) 重現問題

執行這項作業的原因和時機

開發人員可以複製指令碼,並在瀏覽器主控台執行修正驗證指令碼 (JavaScript)。

程序

  1. ASoC 使用者介面 (UI) 中,找出特定問題。
  2. 前往「問題」 > 「詳細資料」
  3. 在「修正驗證」區段中,按一下「複製指令碼」,將提供的指令碼複製到您的剪貼簿。
  4. 開啟 Web 瀏覽器,並前往目標 Web 應用程式。
  5. 登入應用程式。
  6. 按一下 F12 以開啟瀏覽器的開發人員工具。
  7. 前往開發人員工具中的「主控台」標籤。
  8. 將複製的指令碼貼入主控台。
  9. 按下 Enter 鍵以執行指令碼。
  10. 解讀指令碼輸出:輸出會提供訊息,指出問題是否仍然存在或已解決。

使用修正驗證指令碼 (Python) 重現問題

開始之前

為確保 Python 指令碼運作正確,您必須先安裝 Python 程式庫。
註: 執行下列一次性設定活動。

安裝 Python 3

  1. 前往 https://www.python.org/downloads/,為您的系統下載 Python 安裝程式。
  2. 開啟安裝程式,並依照步驟完成安裝。

驗證 Python

若要驗證系統路徑是否已安裝 Python 並可使用:
  1. 開啟終端機並輸入:$> python --version
  2. 已安裝的 Python 版本隨即顯示。例如「Python 3.13.3」。
安裝 Appscan DAST 問題驗證工具模組
  1. 安裝 Python 後,開啟終端機。
  2. 執行下列指令,確保 pip 模組存在:

    $> python -m pip --version

    安裝的 pip 版本隨即顯示,例如 "pip 25.0.1"。

  3. 執行下列指令:

    $> python -m pip install appscandastissueverifier

  4. 指令成功完成後,請執行以下命令來確認 appscandastissueverifier 模組已安裝:

    python -m pip list appscandastissueverifier

  5. 這時會顯示以下詳細資料。
    `Package Version`
 -------- ---------
`appscandastissueverifier 1.0.0`
更新 Appscan DAST 問題驗證工具模組

執行修正驗證指令碼,並遇到與 AppScanDAST 問題驗證工具模組版本相關的錯誤時,必須使用下列指令進行更新:

python -m pip update appscandastissueverifier

執行這項作業的原因和時機

請遵循以下步驟,執行修正驗證指令碼 (Python)。

程序

  1. 在 ASoC 使用者介面 (UI) 中,找出特定問題。
  2. 前往「問題」 > 「詳細資料」
  3. 在「修正驗證」區段中,按一下「下載」,將提供的指令碼下載至您的系統。
  4. 以文字編輯器開啟指令碼。
  5. 遵循指令碼中的指示,變更下列區段並儲存指令碼。 
    REPLAY_HOST  Change this to the web application’s url that needs to be tested 
SESSION_TOKENS Login to the web application in your browser and copy the cookies. Add each cookie as 
a name value pair, separated by a comma (This is a python dictionary).
  6. 開啟終端機並執行指令碼:

    $> python replay-script.py

  7. 解讀指令碼輸出:輸出會提供訊息,指出問題是否仍然存在或已解決。