用於掃描網站的工作流程
如今的網站使用許多不同類型的技術和配置。
開始之前
如果要順利掃描您的網站,您必須確定:
- 儘可能全面掃描網站。
- 不掃描重複或不相關的內容。
- 報告結果有用,而且精確。
符合這些條件而成功的掃描需要採取反覆的方式。另外,您也必須確實理解網站的結構和技術。
- 您第一次掃描時,最好要限制起始 URL 的數目,使掃描進度快一些。
- 您可以新增無效的 URL 作為起始 URL,來掃描不是在您的一般起始 URL 之中及之下的頁面。
- 知道將掃描之 URL 的確切名稱是很好的構想。每個 URL 都應該有效,否則,工作便無法掃描它。當工作進行掃描而發現無效的 URL 時,它會繼續進入「現有的起始 URL」表格中的下一個 URL。不過,無效的 URL 可用來掃描不在起始 URL 中的目錄。
程序
- 建立一份要併入掃描的 URL、埠和網域清單,然後將它們新增到將掃描網站的工作中。
- 瀏覽網站,尋找可能干擾您掃描的項目。部分範例包括:
- 登入頁面
- 排除項目,例如「新增至」購物車、列印這個頁面,以及直欄標題排序等
- 階段作業 ID 及其他參數
- 自訂錯誤頁面
- 可能需要值的表單
- Flash 或 JavaScript™
- 建立一個資料夾,供工作及其報告和儀表板使用,或將它們分別放在各自的資料夾中。
- 配置掃描並執行它。
- 修正及展開掃描。您的測試掃描報告結果應該會指出掃描需要如何修正。
- 掃描提早結束嗎?若是如此,可能是有登出頁面使掃描停止。
- 檢查報告中的誤判。
- 判斷您是否必須從報告中移除相同的頁面或相同的表單。頁面和表單可能有參數(查詢字串或 POST 資料)或 Cookie,使它們以不同方式出現在掃描面前,但它們實際上是相同的。您必須將 URL 和表單正規化,以便從它們移除階段作業 ID 之類的參數。之後,掃描便會將它們重新辨識為相同。正規化是在「伺服器和網域」層次,藉由編輯廣域網域來進行,或在個別掃描工作層次進行。在特定網域中掃描的所有 URL 和表單,都可以套用相同的規則。
- 如果未探索到應用程式的某些 URL,請利用「手動探索」,以手動方式探索網站,將 URL 新增到掃描中。
- 參閱網站架構報告,來判斷是否有其他網域或目錄需要掃描。被識別為外部的網域可以新增到「掃描項目」頁面中,從而併入掃描中。如果這個頁面列出任何尚未掃描的網域,可能是登入頁面造成無法抵達這些網域。
- 根據結果來重新評估內容的配置方式。您可能需要配置其他內容,也可能需要變更現有內容的設定。
- 重複前兩個步驟,直到確定已適當掃描和分析整個網站或應用程式(沒有誤判錯誤,等等)。
- 重新執行工作及其報告套件。如果報告結果不符預期,請參閱效能的最佳實務。如果報告結果符合預期,請開啟安全測試,並重新執行工作。
- 將報告結果散布給您的讀者:
- 以電子郵件,將報告套件或儀表板的 URL 寄送給「報告消費者」。使用者必須取得查看報告套件和儀表板的許可權。
- 將報告匯出成 Excel、PDF、XML 或 CSV。