jump.to.content
HCL Logo 說明中心
HCL TECHNOLOGIES 關於我們 產品和解決方案 資源 聯絡我們 ☰
French / Français Japanese / 日本語 English Chinese (China) / 简体中文 Chinese (Taiwan) / 繁體中文
AppScan Enterprise Server
  • 歡迎使用
  • AppScan® Enterprise 的協助工具特性
  • 概觀
  • 安裝
  • 升級與移轉
  • 整合
  • 最佳實務
  • 配置
  • 管理
  • 管理應用程式風險
  • 疑難排解和支援
  • REST API
  • 參照
  • 名詞解釋
  1. label.home
  2. 參照

    檢閱產品的參照資訊。

  3. 「資料夾瀏覽器」主題

    進一步瞭解資料夾瀏覽器主題。

  4. 在「資料夾瀏覽器」中建立掃描

    進一步瞭解如何在資料夾瀏覽器中建立掃描。

  5. 以進階配置選項使掃描最佳化

    請利用這項作業,以複式配置來配置進階掃描。如果 Web 應用程式需要與使用者頻繁互動才能導覽應用程式,或者您只想測試應用程式的特定區域,請使用此方法。

  6. 測試 Web 服務是否有安全漏洞

    您可以新增 Web 服務到安全測試的掃描中。請使用「Web 服務瀏覽器」將要求傳送給服務,然後包裝對應的 URL 以便在 AppScan® Enterprise Server 中測試。

  • 參照

    檢閱產品的參照資訊。

    • 「配置精靈」主題

      進一步瞭解配置精靈主題。

    • 「資料夾瀏覽器」主題

      進一步瞭解資料夾瀏覽器主題。

      • 在「資料夾瀏覽器」中建立掃描

        進一步瞭解如何在資料夾瀏覽器中使用掃描。

      • 在「資料夾瀏覽器」中建立掃描

        進一步瞭解如何在資料夾瀏覽器中建立掃描。

        • 使用 AppScan Enterprise 的掃描內容來建立 QuickScan 範本

          QuickScan 範本包含一個內容掃描工作或是匯入工作,再加上報告套件。在「資料夾」清單裡的「範本」資料夾中建立好掃描範本之後,它們會自動成為備妥的掃描範本,可供 QuickScan 使用者取用,也可供在「顯示資料夾瀏覽器」清單中開啟了 QuickScan 視圖的更進階使用者取用。當 QuickScan 使用者建立一項掃描時,系統會依據範本建立工作和報告套件,但只在針對該 QuickScan 使用者時,才會顯示為一項掃描。

        • 配置不含安全測試的基本掃描

          請利用這項作業,以最小的配置來配置基本掃描。此掃描將自動在 Web 應用程式中探索更多 URL 以進行測試。這個方法用於應用程式有很多靜態鏈結,並且不需與使用者頻繁互動。此掃描並不會針對安全問題進行測試,但可協助您開始探索網站,以判斷完整網站涵蓋面。

        • 使用 AppScan Enterprise 中的掃描內容來配置安全掃描

          安全掃描應該在暫置伺服器或「品質保證」伺服器之類的前置生產環境中執行。這麼做可協助您納入與執行安全掃描相關聯的風險。您的前置正式作業環境應該儘可能鏡映正式作業環境;在這兩個環境中,應用程式應該有相同的執行檔,您才能確知顯現的應用程式正在進行全面的測試。另外,安全掃描也應該整合在「軟體開發生命週期 (SDLC)」程序中,以便在安全問題進入正式作業環境之前就能擷取。

        • 安全掃描如何運作

          安全掃描有兩個個別階段:「探索」和「測試」。

        • 安全測試工作流程

          配置安全掃描必須很小心,這樣它才能夠找到您 Web 應用程式中的所有 URL,並測試其中是否有漏洞。

        • JavaScript™ 原始碼分析如何運作

          「JavaScript™ 安全分析器 (JSA)」執行靜態 JavaScript 原始碼分析,以偵測一系列用戶端問題,主要是 DOM 型跨網站 Scripting。JSA 會分析 AppScan® Enterprise 在「探索」階段期間所收集的 HTML 頁面。JSA 會在「測試」階段進行的同時執行,也可以隨時在現有的「探索」結果上手動啟動。

        • 以進階配置選項使掃描最佳化

          請利用這項作業,以複式配置來配置進階掃描。如果 Web 應用程式需要與使用者頻繁互動才能導覽應用程式,或者您只想測試應用程式的特定區域,請使用此方法。

          • 新增其他伺服器和網域至掃描中

            如果要將其他網域和多重伺服器環境列入考量,請新增任何其他伺服器和網域到掃描的「掃描項目」頁面中。

          • 尋找更多內容

            XRule 是一份 XML Script,用來加強對於網站或應用程式的掃描作業,以及搜尋資料庫來找出掃描所收集的資訊。當利用它來加強工作掃描網站的能力時,XRule 可以在 Flash 檔內尋找鏈結,在 JavaScript™ 內尋找動態建立的鏈結,或通過登入常式。

          • 掃描 WebSphere® Portal

            指定要掃描的入口網站。

          • 設定掃描限制

            設定掃描限制,讓掃描有其焦點。您可以利用頁數、重複內容路徑或點選深度,來限制掃描。

          • 從掃描中排除 URL

            排除項目是用來在掃描期間排除特定檔案、目錄或檔案類型,不需要進行分析。您的網站可能會有一個區段,倘若併入分析,也許會因為在建構中,有已知問題,將負面影響整體掃描結果。藉由排除這個網站區段,您可以防止它影響報告和儀表板結果。

          • 將 URL 與表單正規化

            正規化規則可以協助掃描工作判斷 URL 和表單是否唯一,以免在報告中不正確地重複。

          • 定義參數和 Cookie

            您可能會有需要特殊處理的參數和 Cookie,例如,您不要掃描去操作的階段作業 ID 和參數。

          • 處理登入和登出頁面

            配置掃描如何處理 Web 應用程式的登入和登出頁面。請利用登入序列來遵循複雜登入程序,或輸入用來偵測掃描將遇到之登出頁面的正規表示式。識別登出頁面,是為了防止掃描提早登出應用程式或網站。

          • 自動填妥 Web 表單

            「自動表單填入」用來將它所遇到的表單欄位值提供給內容掃描工作。當使用您提供的欄位值時,掃描便無須中斷,得以繼續探索其他 URL 和內容來進行分析。

          • 連接 Web 伺服器

            定義掃描工作連接您的網路時所表現的行為。

          • 向網站鑑別

            當掃描工作遇到一個需要 Windows™ NT® 鑑別的頁面時,自動會提供您所選擇的使用者名稱和密碼。對於已鑑別的頁面,您可以新增使用者名稱和密碼。用戶端憑證指定掃描引擎及手動探索/已錄製的登入是根據特定用戶端憑證檔或服務帳戶的憑證儲存庫來接受試圖掃描之伺服器的鑑別。

          • 識別自訂錯誤頁面,使掃描能夠辨識它們

            網站上利用自訂錯誤頁面來確保使用者在遇到中斷鏈結時,不會走到「盡頭」。相反地,錯誤頁面會引導使用者進入另一頁,例如首頁。

          • 配置掃描隱私權聲明鏈結

            當網站要求資訊時,請務必讓網站訪客很容易判斷資料的用途。網站的隱私權原則說明收集資料的原因、誰將有權存取這項資料,以及資料提交之後,網站訪客所擁有關於這項資料的權利類型。在含有收集個人資料之表單的頁面中,提供控管這項資料之隱私權原則的鏈結,是在必要之時,向使用者提供資訊的最佳方式。

          • 手動探索網站,在掃描中新增其他 URL

            「手動探索」意指您將在配置中指出掃描要測試的確切 URL(掃描不會自動搜索來發現新的 URL)。如果 Web 應用程式需要與使用者頻繁互動才能導覽應用程式,或者您只想測試應用程式的特定區域,請使用此方法。

          • 讓靜態分析資料與動態分析資料產生關聯

            從 AppScan® Source 匯入資料,以便讓它的發現項目和現有的動態分析安全掃描(AppScan Enterprise Server 內容掃描工作或 AppScan Standard 匯入工作)建立關聯。

          • 測試 Web 服務是否有安全漏洞

            您可以新增 Web 服務到安全測試的掃描中。請使用「Web 服務瀏覽器」將要求傳送給服務,然後包裝對應的 URL 以便在 AppScan® Enterprise Server 中測試。

            • Web Services 瀏覽器

              採用 Web 服務來執行更重要的線上交易,已導致迫切需要審核及評量這些應用程式的安全漏洞。您可以使用「Web 服務瀏覽器」來啟動「一般服務用戶端 (GSC)」工具,其中可供您檢視併入 Web 服務的各種方法、操作輸入資料,以及檢查服務的回饋。

            • 安裝 Web 服務瀏覽器

              「Web 服務瀏覽器」需要大約 300 MB 磁碟空間。

            • 用來測試簡式 Web 服務的工作流程

              這是一個簡式 Web 服務掃描工作流程。

            • 用來測試受 SSL 鑑別保護之 Web 服務的工作流程

              這個工作流程說明 Web 服務的探索程序,其中,WSDL 檔受 SSL 鑑別保護。

          • Incremental scans
          • Test Optimization view

            Test Optimization uses AppScan®’s intelligent test filtering to achieve faster scans, when speed is needed, with minimal loss of issue coverage. You choose between four optimization levels depending on your needs.

          • 測試惡意軟體

            測試應用程式是否有惡意軟體和惡意的外部鏈結。

          • 重新測試安全問題

            重新測試安全問題是一種快速的方法,供您驗證確實修復了問題。您可以選取一或多個已修正的問題,立即加以重新測試,並不需要執行整個工作來查看結果。

        • 擷取及匯入資料流量資料
        • 從 AppScan Standard 匯入動作型登入檔案

          AppScan Standard 中的動作型登入功能會在瀏覽器中產生使用者的實際動作,而不只是要求,並在瀏覽器中重播該序列。您可以在 AppScan Standard 中建立動作型登入並將它匯入 AppScan Enterprise 來運用這項功能,以協助避免在掃描期間發生離開階段作業事件。

        • 從 AppScan® Standard 匯入手動探索資料

          您可以將從 AppScan® Standard 7.x 版(以及更新版本)匯出的資料,匯入到 AppScan Enterprise。匯入這項資料可以節省時間,縮減重複的工作成本。只會匯入來自 AppScan.exd 檔的 URL(參數及網域)和 HTTP 要求。

        • 匯入 AppScan® 資料,供報告使用

          匯入工作從資料檔取得結果,再將它整合到 AppScan® Enterprise Server 資料庫中。匯入的資料可用來建立報告和儀表板。另外,還可以與內容掃描工作的資料結合起來,建立您完整的問題圖像。

    • 利用報告進行分類

      執行工作之後會自動產生報告。這些報告提供管理問題的方法,可協助您管理組織的重要問題,並且以 Enterprise Console 的工作流程及組織內其他程序的工作流程都支援的方式來執行這項作業。

測試 Web 服務是否有安全漏洞

您可以新增 Web 服務到安全測試的掃描中。請使用「Web 服務瀏覽器」將要求傳送給服務,然後包裝對應的 URL 以便在 AppScan® Enterprise Server 中測試。

執行這項作業的原因和時機

  • Web Services 瀏覽器
  • 安裝 Web 服務瀏覽器
  • 用來測試簡式 Web 服務的工作流程
  • 用來測試受 SSL 鑑別保護之 Web 服務的工作流程
About HCL Software / Acquisition FAQ / Government - US Federal / Welcome / Contact Us