配置不含安全測試的基本掃描

請利用這項作業,以最小的配置來配置基本掃描。此掃描將自動在 Web 應用程式中探索更多 URL 以進行測試。這個方法用於應用程式有很多靜態鏈結,並且不需與使用者頻繁互動。此掃描並不會針對安全問題進行測試,但可協助您開始探索網站,以判斷完整網站涵蓋面。

程序

  1. 新增「起始 URL」到「掃描項目」頁面中。請確定「起始 URL」有效,且不會重新導向到您掃描的網域以外的網域。
    Reasons for adding non-valid URLs:

    您可能會為了若干原因而想要這麼做:

    1. 如果您的網際網路連線中斷,或您的 Web 伺服器尚未啟動。
    2. 您的起始 URL 實際上重新導向到另一個網域,然後又新增另一個網域到起始 URL 清單中。例如,起始 URL www.example.com/support 實際上會重新導向至 support.example.com。起始 URL 清單必須包括 support.example.comwww.example.com/support。另外,即使 support.example.com 可能無效,如果未將它新增為起始 URL,在這個狀況下,便不會掃描它。
    3. 同樣地,如果您的起始 URL 有重新導向到另一個目錄的內容,您也必須將這個目錄併為起始 URL。比方說,如果 www.example.com/products 內有頁面會重新導向至 www.example.com/japan/products,則兩者都必須新增為要掃描的起始 URL。
    4. 您想要掃描不在起始 URL 中的目錄,也想有助於定義「在起始網域中,只掃描在每個起始 URL 的目錄之中及之下的鏈結」勾選框。例如,起始 URL www.example.com/products 是有效的 URL,但 www.example.com/services 不是有效的 URL。不過,您想要掃描這兩個 URL 內的頁面,不想掃描網站的任何其他部分。如果要執行這個動作,請新增這兩個 URL 作為起始 URL,並在「掃描項目」頁面上,選取「在起始網域中,只掃描在每個起始 URL 的目錄之中及之下的鏈結」勾選框。
  2. 決定是否要在「起始 URL」所包含的目錄上方進行掃描。如果您只在它的目錄之中及之下進行掃描,您的掃描可能會提早停止,因為它只能尋找您的起始網域所包含的 URL。如果要在起始 URL 上方掃描,請在「掃描項目」頁面上,清除在起始網域中,只掃描在每個起始 URL 目錄之中及之下的鏈結勾選框。
  3. 如果網站往外分支到您在掃描期間必須造訪的其他網域,請將這些網域新增到「掃描項目」頁面。
  4. 在「環境定義」頁面中,指定定義網站的環境。這可減少要傳送的測試總數,也能縮短整體掃描時間。
  5. 網站的某些區域可能需要排除。在「排除路徑與檔案」頁面中,使用正規表示式來排除 URL 型樣,例如 addtocart 函數。
  6. 在「探索選項」頁面中:
    1. 將掃描限制在 500 個頁面內。在初步掃描中,請務必保持低的頁面限制,直到掃描期間出現的所有問題都得到解決。
    2. 選取執行 JavaScript 來探索 URL 及動態內容。這可確保掃描期間會探索建構在 JavaScript 程式碼內的任何 URL。如果您的網站包含 Flash,請選取執行 Flash 來探索 URL 和潛在漏洞,以探索更多的 URL。
    3. 選取您在探索網站時,掃描要用的使用者 ─ 代理程式。如需詳細資料,請參閱使用者代理程式
  7. 因為這是應用程式的基本掃描,所以您還不會掃描安全問題。在「安全」頁面上,停用執行安全測試勾選框,並按一下儲存
  8. 執行工作。網站或應用程式的起始掃描,一律是反覆的程序,因此,請考慮在第一次執行時,採用初步的掃描。您可能需要變更掃描配置,下次掃描才能取得更好的結果。
  9. 執行工作和報告套件之後,請使用「頁面」報告來驗證掃描涵蓋面。