安全測試政策

安全測試政策是一組預先定義的安全測試。使用者必須同時被指派伺服器群組和測試政策,才能執行安全掃描。

管理員不需要被明確授予測試政策的存取權限,也不需要被指派到伺服器群組。有兩種類型的測試政策可供使用:
Standard exclusion:
所有預先定義的測試政策,包括完整測試政策,預設都會排除以下測試:

  • 過時的測試(例如舊的 CVE 或過時的第三方測試)

  • 可能會拖慢 AppScan 效能的破壞性測試(例如連接埠監聽器測試)

  • 簡單安全測試政策在高層級定義測試。您可以在 AppScan® Enterprise Server 中建立和編輯簡單測試政策,並將它們指派給伺服器群組。
  • 進階安全測試政策在更細緻的層級定義測試。您可以從 AppScan® 7.7(或更高版本)匯入進階測試政策並將它們指派給伺服器群組,但您無法編輯它們的屬性:
    • 僅限應用程式:包含所有應用程式層級測試,但不包括侵入性測試。
    • 完整:包含所有測試。
    • 預設:包含所有測試,但不包括侵入性測試(影響伺服器穩定性的測試)。
    • 開發人員基本要素(已棄用):包含一系列成功機率高的應用程式測試。這在時間有限時評估網站很有用。
    • 僅限基礎架構:包含所有基礎架構層級測試,但不包括侵入性測試。
    • 侵入性:包含所有侵入性測試(可能影響伺服器穩定性的測試)。
    • OWASP Top 10 - 2021:包含 OWASP 對應的最新十大漏洞類別的所有測試。
    • OWASP Top 10 API Security Risks - 2023:包含 OWASP 對應的最新十大 API 漏洞類別的所有測試。
    • 正式環境網站:排除可能損害網站的侵入性測試,或可能導致其他使用者服務拒絕的測試。
    • 重要少數(已棄用):包含成功機率高的測試選擇。當時間有限時,這對評估網站很有用。
    • 僅第三方:包含所有第三方層級測試,但不包含侵入性測試。
    • サービス Web (廃止):侵襲的テストを除くすべての SOAP 関連テストが含まれます。

已棄用的測試政策替代方案

哪些測試政策可以取代重要少數和開發者必要項目測試政策?
  • 下表提供已棄用政策的建議替代方案:
    目前政策建議替代方案
    サービスウェブ Web サービスが含まれるようになったデフォルト ポリシーを使用します。
    重要少數

    使用預設政策搭配最快的測試最佳化設定。

    開發者必要項目

    使用僅應用程式政策搭配其中一個較快的測試最佳化設定。