支持的技术
您网站使用的一些技术可能会影响AppScan的扫描能力,而其他技术则完全不影响扫描。
- AppScan 是一个“Black-Box”(DAST)工具,通过使用与浏览器相同的机制扫描您的网站。因此,对于浏览器透明的服务器端技术对于 AppScan 也透明,但不会影响扫描。
- 客户机端技术(如 JavaScript 和 HTTP 协议)本身的确会影响 AppScan。为了成功扫描,AppScan 使用嵌入产品中的实际浏览器来处理网页,就像市面上商用浏览器一样。这可确保支持所有常用技术。有时可能需要额外的配置来帮助AppScan理解元素的上下文,以便在简单浏览之外进行适当处理,通常特别是针对扫描的测试阶段。
- 支持WebSocket登录记录和登录回放。
一次 AppScan 扫描由两个主要阶段组成:探测和测试。对于每个阶段,以下表格提供了理解哪些服务器端和客户端技术可能影响扫描的指南,以及在哪些情况下需要进行配置。
| 服务器端技术 | 客户机端技术 | |
|---|---|---|
| 探索阶段 |
任何不影响客户机的服务器端技术(如使用的特定数据库)不会以任何方式影响扫描。 如果 AppScan 配置正确,那么影响客户机的很多机制(例如会话管理)将不会限制扫描。例如,Web 服务器和应用程序服务器影响管理会话标识的方式,AppScan 必须能够跟踪这些标识。很多常见会话标识已预定义或可以由 AppScan 自动检测,不需要其他配置。然而,对于某些自定义机制,可能仍然需要额外的配置。 AppScan 特别支持 WebSphere Portal 定制 URL。WebSphere Portal 对 URL 编码,这使得以 URL 所显示的方式来对它们进行跟踪就比较困难。AppScan 会解码这些 URL,以理解这些 URL 并对其进行调优。 |
AppScan 使用完全嵌入式浏览器,它自动支持所有主要技术 (HTML5),包括许多常用的 JavaScript 框架,例如 Angular、React 和 JQuery。 如果自动探索阶段因特定技术而丢失页面,或由于实现阻挡自动探索而丢失页面,可以在自动探索之后,测试阶段之前,通过手动探索将这些页面添加到扫描。 |
| 测试阶段 | AppScan 旨在测试应用程序而不是其支持技术,因此它们不会影响测试。再次考虑数据库:AppScan 的 SQL 注入测试套件与所使用的数据库无关。它还可以为第三方测试(常见漏洞测试)提供特定测试。 | 客户机端 JavaScript 漏洞使用嵌入式浏览器进行测试。同样使用 Black-Box (DAST) 方法实施测试。对浏览器环境进行控制,并按原样执行 JavaScript 以显示漏洞。AppScan 支持现代浏览器所支持的所有执行方法。 |