安全测试策略
安全测试策略是一组预定义的安全测试。必须先为用户指定服务器组和测试策略,用户才能执行安全扫描。
无需为管理员授予对测试策略的明确访问权,也无需将其指定到服务器组。有两种类型的测试策略可用:
- Simple security test policy 在较高的级别定义测试。您可以在 AppScan® Enterprise Server 中创建和编辑简单测试策略,并将其指定到服务器组。
- Advanced security test policy 定义更精细级别的测试。您可以从 AppScan® 7.7(或更高版本)中导入高级测试策略,然后将其指定到服务器组,但不能编辑其属性:
- 仅应用程序:包含所有应用程序级别的测试,但侵入式和端口侦听器测试除外。
- 已完成:包含所有 AppScan® 测试。
- 缺省值:包含所有测试,但侵入式和端口侦听器测试除外。
- 开发者精要:包含一些成功可能性极高的应用程序测试的精选。在时间有限时对站点评估可能有用。
- 仅限基础结构:包含所有基础结构级别的测试,但侵入式和端口侦听器测试除外。
- 侵入式:包含所有侵入式测试(可能影响服务器稳定性的测试)。
- OWASP Top 10 - 2021: 包括除侵入式测试和端口侦听器测试之外的所有测试。
- OWASP Top 10 API Security Risks - 2023: 包括除侵入式测试和端口侦听器测试之外的所有测试。
- 生产站点:排除可能破坏站的侵入式测试或可能导致其他用户的“拒绝服务”的测试。
- 关键的少数:包含一些成功可能性极高的测试精选。在时间有限时对站点评估可能有用。
- 仅第三方:包含所有第三方级别的测试,但侵入式和端口侦听器测试除外。
- Web Service (已弃用):包含所有 SOAP 相关测试,但侵入式和端口侦听器测试除外。
从 AppScan Standard 常见问题中
删除哪些测试策略可取代 Web 服务、关键的少数和开发者精要测试策略?
- 在版本 10.0.5 中,宣布了关于在将来版本中删除三个测试策略的通知。以下方法可用于实现类似的结果。如果您使用这些策略,那么不妨开始使用建议的替代策略。
当前策略 建议的替代策略 Web 服务 缺省值 现在,缺省测试策略涵盖 Web 服务,因此不需要使用单独的 Web 服务策略。
关键的少数 缺省值 将缺省策略与最快的“测试优化”设置一起使用。
开发者精要 缺省值 将“仅应用程序”策略与更快的“测试优化”设置一起使用。