“QuickScan 设置”选项卡控件

这些控件中的部分或全部可用于 QuickScan 用户,具体取决于所使用的模板。

扫描名称

扫描名称缺省为您在上一页输入的起始 URL(以及任何唯一标识),但是如果需要,您可以将其更改为更有意义的内容。

要扫描的 URL

QuickScan 在您探索应用程序时识别了这些 URL,并且将其分类为登录 URL 或常规 URL。如果检测到会话中页面,那么也会对其进行分类。仅有一个页面可以处于会话中状态。

将页面重新分类:单击相应的上方向或下方向键将其移至列表中“登录步骤”栏上方或“探索”栏下方。

识别会话中页面:如果突出显示的 URL 不是要用作会话中页面的页面,请选中所需页面的相应复选框,然后单击会话中按钮。请注意,如果您将分类线移至标记为会话中的页面下方,那么将除去会话中分类。

添加 URL:如有必要,重新记录登录,或者探索更多 URL 以完成列表。

许可权:指示是否允许您扫描列表中的各 URL。如果没有针对该 URL 的安全许可权,可能是因为存在许可限制,或者该 URL 不属于已指定给您的服务器组。如果您需要增强许可权,请与产品管理员联系。

按有序序列测试探索 URL:在只能通过以特定顺序发送请求来访问您的部分 Web 应用程序时,选择此选项。扫描在发送测试之前,将按您记录 URL 的顺序来回放这些 URL。选择该选项会降低测试速度。

自动探索:如果将扫描设置为搜寻的页数不受限制,那么扫描可能需要很长时间才能完成。

页数:通过输入特定页数来缩短扫描持续时间。

深度限制:使用此选项以确保扫描仅访问 Web 站点中最前面几页。扫描将不会搜寻超过指定数量的页面;缺省值为 20 次点击的深度。如果将深度限制设置为少于 6 次点击,那么您在“深度页面”报告中可能不会获取准确信息,因为“深度页面”报告中所报告的缺省限制为 6 次点击的深度。注:升级时,此选项为禁用。

登录会话标识:“登录会话标识”列表可显示登录期间所检测到的 cookie 和参数。您可以选择此列表中的变量并使用跟踪停止跟踪按钮来更改其状态。在跟踪会话标识时,会通过登录请求的响应对会话标识值进行解析,然后将其应用到为扫描会话的剩余部分发送的所有请求。如果您的站点对每个会话使用不同的值,那么作业将很难确定页面是否与先前的会话相同(如果作业未跟踪会话标识)。缺省情况下,将跟踪 regexp:.*ses.* regexp:.*id.*。“跟踪的会话标识”将添加到“参数和 Cookie”页面。登录期间如果发现定制参数没有名称,并设置为跟踪,那么将修改定制参数的定义。

自动登录

如果应用程序需要一次性登录,请使用用户名和密码,让扫描为您自动登录。

会话中检测

会话中状态图标表明是否已针对此扫描正确设置会话中检测,以及会话中检测是处于活动、禁用还是启用状态。每个图标旁边的消息都带有更新任务和可能修复任务。

详细信息字段将显示激活会话中检测复选框以及扫描将在扫描过程中用来验证其是否已登录的会话中模式。如果需要,请为该扫描启用激活会话中检测复选框。如果缺省模式不是您想要使用的模式,请输入其他正则表达式,然后单击更新

测试策略

测试策略是在扫描期间发送的一组预定义的安全测试。

用户扫描许可权

要执行安全性测试,您必须具有相应的许可权。在允许您创建安全性扫描的情况下,此列表会显示特定服务器组和所指定的测试策略。服务器组就是用来定义一组服务器的 URL、IP 地址或 IP 地址范围的集合。如果您需要更多扫描许可权,请与产品管理员联系。

平台认证

当扫描发现需要 HTTP 基本或 NTLM 认证的页面时,扫描将自动提供您选择的用户名和密码。

客户机端证书

浏览文件系统以找到客户机端证书。密码用来验证您是否具有上载证书的许可权。