「QuickScan 設定」標籤控制項
QuickScan 使用者可以使用部分或所有這些控制項,這會隨著您使用的範本而不同。
掃描名稱
掃描的名稱預設為您在上一頁所輸入的起始 URL(加上任何唯一的 ID),但必要的話,也可以改為更有意義的名稱。
要掃描的 URL
QuickScan 已在您探索應用程式時找出這些 URL,並分類為登入 URL 或一般 URL。如果偵測到階段作業內頁面,也會將它分類。只能有一個頁面在階段作業內。
將頁面重新分類:在清單中適當地按上移鍵或下移鍵,將頁面移至「登入步驟」列上方或「探索」列下方。
識別階段作業內頁面:如果強調顯示的 URL 不是您要作為階段作業內頁面的頁面,請選取您所要頁面的適當勾選框,然後按一下階段作業內按鈕。請注意,如果您移動標示為階段作業內之頁面下方的分類線,即會移除階段作業內分類。
新增 URL:必要的話,請重新記錄登入,或探索更多的 URL 來完成清單。
許可權:指出是否允許您掃描清單中的每一個 URL。如果該 URL 沒有安全許可權,可能是因為授權限制,或 URL 不屬於您被指派的伺服器群組。如果需要提高許可權,請與「產品管理者」聯絡。
依序測試「探索 URL」:當只能依特定順序傳送要求來呼叫到 Web 應用程式的組件時,請選取這個選項。掃描會先依照錄製的順序來播放 URL,再傳送測試。選取這個選項會使測試速度變慢。
自動探索:如果您設定掃描搜索不限頁數,掃描可能要花很長的時間,才會完成。
頁數:請輸入特定的頁數來縮短掃描期間。
深度限制:請利用這個選項來確保掃描只會到達網站的若干最上層頁面。掃描的搜索不會超過指定的頁數;預設深度是點選 20 次。如果您所設定的深度限制低於 6 次點選,可能無法在「深層頁面」報告中取得精確資訊,這是因為「深層頁面」報告中所報告的預設深度限制為選點 6 次。附註:升級時不會啟用這個選項。
登入階段作業 ID:「登入階段作業 ID」清單顯示登入期間所偵測到的 Cookie 與參數。您可以選取這份清單中的變數,並使用追蹤和停止追蹤按鈕,來變更其狀態。在追蹤某個「階段作業 ID」時,其從登入要求的回應來剖析其值,然後將這些值套用至針對掃描階段作業其餘部分所傳送的所有要求。如果您的網站每個階段作業分別使用不同的值,倘若工作未追蹤階段作業 ID,便很難判斷某一頁面是否與上個階段作業相同。預設會追蹤 regexp:.*ses.* 和 regexp:.*id.*。追蹤到的階段作業 ID 會新增至「參數與 Cookie」頁面中。如果在登入期間發現一個沒有名稱的自訂參數,並將它設定為要追蹤,就會修改該自訂參數的定義。
自動登入
如果應用程式需要一次性登入,請利用使用者名稱和密碼,讓掃描為您自動登入。
階段作業內偵測
「階段作業內」狀態圖示會指出您是否已對這項掃描正確設定階段作業內偵測,以及階段作業內偵測為作用中、已停用或已啟用。訊息會在每一個圖示中隨附更新和可能的補救作業。
詳細資料欄位會顯示啟動階段作業內偵測勾選框,以及在掃描期間,掃描會用來驗證其已登入的階段作業內型樣。如有需要,請針對這項掃描啟用啟動階段作業內偵測勾選框。如果您不想使用預設型樣,請輸入不同的正規表示式,然後按一下更新。
測試原則
測試原則就是在掃描期間傳送的一組預先定義的安全測試。
使用者掃描許可權
如果要執行安全測試,您必須具有許可權才能這麼做。此清單顯示已指派測試原則且允許您建立安全掃描的特定伺服器群組。伺服器群組是定義了一群伺服器的一組 URL、IP 位址或 IP 位址範圍。如果需要額外的掃描許可權,請與「產品管理者」聯絡。
平台鑑別
當掃描遇到一個需要 HTTP 基本或 NTLM 鑑別的頁面時,自動提供您所選擇的使用者名稱和密碼。
用戶端憑證
瀏覽檔案系統來尋找用戶端憑證。密碼用來驗證您具有上傳憑證的許可權。