安全扫描的工作方式

安全扫描有两个不同的阶段:探索和测试。

“探索”阶段

运行内容扫描作业时,将开始“探索”阶段:

  1. 扫描如同用户那样,从您在作业属性中提供的起始 URL 开始,在应用程序中搜寻。它尝试在应用程序中查找尚未过滤掉的所有链接。对扫描的任何限制(如“扫描限制”)都应用于“探索”进程。
  2. 创建应用程序中 URL 的列表。
  3. 分析 URL 以提供执行安全测试所需的信息。

“测试”阶段

“测试”阶段以“探索”分析的结果为起点。基于此分析,AppScan® Enterprise Server 创建测试,然后执行以下操作:

  1. 发送指纹,这是扫描开始时的一项特殊请求,用以通知 Web 管理员接下来一系列的请求将用于测试 Web 服务器的安全性问题。
  2. 登录应用程序中需要认证的每个 URL。
  3. 对 URL 执行初步测试,这有助于解释结果。
  4. 发送为显露安全问题而设计的请求测试,以此测试 URL。它将以多种变体形式重新发送请求;大约每个参数 40 个请求。这些请求中的一部分将遭到服务器拒绝,但是多数会通过并由 AppScan® Enterprise Server 进行处理。
  5. 关于此问题报告中记录对每个请求的响应。若要打开关于此问题报告,请单击 Issue number
  6. 确定测试结果。