支援的技術
有些技術可能會影響AppScan的掃描能力,而其他技術則完全不會影響。
- AppScan 是一個「黑箱」(DAST)工具,並使用與瀏覽器相同的機制來掃描您的網站。因此,一般而言,對瀏覽器透通的伺服器端技術,對 AppScan 也會是透通的,不會影響掃描。
- JavaScript 和 HTTP 通訊協定本身等的用戶端技術,的確會影響 AppScan。為了成功掃描,AppScan 使用嵌入產品中的真實瀏覽器來處理網頁,就像市面上普遍可用的瀏覽器一樣。這可確保支援所有常用技術。偶爾可能需要額外的配置來幫助 AppScan 理解元素的上下文,以便在超出簡單瀏覽的情況下進行正確處理,通常特別針對掃描的測試階段。
- WebSocket 登錄記錄和登錄回放功能是支持的。
一次 AppScan 掃描由兩個主要階段組成:探索和測試。在每個階段,以下表格提供了指導方針,以了解哪些伺服器端和客戶端技術可能會影響掃描,以及在哪些情況下需要進行配置。
| 伺服器端技術 | 用戶端技術 | |
|---|---|---|
| 「探索」階段 |
不會影響用戶端的任何伺服器端技術(例如,使用特定資料庫)都不會影響掃描。 如果已正確地配置 AppScan,則許多會影響用戶端的機制(例如階段作業管理)並不會限制掃描。例如,Web 伺服器和應用程式伺服器會影響階段作業 ID 的管理方式,但 AppScan 必須能夠追蹤這些 ID。許多常見的階段作業 ID 都是預先定義的,而且 AppScan 可以自動偵測到,不需要其他的配置。然而,某些自定義機制可能仍然需要進行額外的配置。 AppScan 特別支援 WebSphere Portal 自訂 URL。WebSphere Portal 編碼 URL 的方式,使其很難如表面般追蹤。AppScan 會解碼 URL,讓它們可以被瞭解及調整。 |
AppScan 會使用完整的內嵌瀏覽器,並自動支援所有主要技術 (HTML5),包括許多熱門的 JavaScript 架構,例如 Angular、React 和 JQuery。 如果自動「探索」階段因為特定的技術而遺失頁面,在自動「探索」階段之後,「測試」階段之前,可以透過手動探索頁面的方式將這些頁面新增至掃描。 |
| 「測試」階段 | AppScan 的設計是為了測試應用程式,而不是為了測試其支援技術,因此這些技術不影響測試。再次考慮數據庫:AppScan 的 SQL 注入測試套件與所使用的數據庫無關。它還提供針對第三方測試(「常見漏洞」測試)的特定測試。 | 使用內嵌瀏覽器來測試用戶端 JavaScript 漏洞。也會使用黑箱 (DAST) 方法來執行測試。瀏覽器環境會受到操控,而且 JavaScript 會依原狀執行以公開漏洞。AppScan 支援新式瀏覽器支援的所有執行方法。 |