安全测试策略

安全测试策略是一组预定义的安全测试。用户必须同时被分配到服务器组和测试策略,才能执行安全扫描。

管理员无需被明确授予测试策略的访问权限,也无需被分配到服务器组。有两种类型的测试策略可供使用:
Standard exclusion:
所有预定义的测试策略,包括完整测试策略,默认情况下都排除以下测试:

  • 过时的测试(如旧的CVE或过时的第三方测试)

  • 可能降低AppScan性能的破坏性测试(如端口监听器测试)

  • 简单安全测试策略在高层级定义测试。您可以在AppScan® Enterprise Server中创建和编辑简单测试策略,并将其分配给服务器组。
  • 高级安全测试策略在更精细的层级定义测试。您可以从AppScan® 7.7(或更高版本)导入高级测试策略并将其分配给服务器组,但无法编辑其属性:
    • 仅应用程序:包括除侵入性测试外的所有应用程序级别测试。
    • 完整:包括所有测试。
    • 默认:包括除侵入性测试(影响服务器稳定性的测试)外的所有测试。
    • 开发人员基础(已弃用):包括成功概率较高的应用程序测试选择。这在时间有限的情况下评估站点时很有用。
    • 仅基础设施:包括除侵入性测试外的所有基础设施级别测试。
    • 侵入性:包括所有侵入性测试(可能影响服务器稳定性的测试)。
    • OWASP Top 10 - 2021:包括OWASP映射的最新十大漏洞类别的所有测试。
    • OWASP Top 10 API安全风险 - 2023:包括OWASP映射的最新十大API漏洞类别的所有测试。
    • 生产站点:排除可能损坏站点的侵入性测试,或可能导致其他用户遭受拒绝服务攻击的测试。
    • The Vital Few(已弃用):包括成功概率较高的精选测试。这在时间有限的情况下评估站点时很有用。
    • 仅第三方:包括除侵入性测试外的所有第三方级别测试。
    • Services Web(已过时):包括所有与 SOAP 相关的测试,但不包括侵入性测试。

已弃用测试策略的替代方案

哪些测试策略可以替代The Vital Few和Developers Essentials测试策略?
  • 下表提供了已弃用策略的建议替代方案:
    当前策略建议的替代方案
    Web Services 使用现在包含 Web 服务的默认策略。
    The Vital Few

    使用具有最快测试优化设置的默认策略。

    Developers Essentials

    使用具有较快测试优化设置之一的仅应用程序策略。