安全掃描如何運作
安全掃描有兩個個別階段:「探索」和「測試」。
探索階段
當您執行內容掃描工作時,「探索」階段便即開始:
- 掃描以使用者身分來搜索應用程式,首先是您在工作內容中提供的起始 URL。它試圖尋找應用程式中每個未濾除的鏈結。掃描有任何限制(如「掃描限制」),「探索」程序也一律適用。
- 建立應用程式內的 URL 清單。
- 分析 URL 來提供進行安全測試所需要的資訊。
測試階段
「測試」階段是從「探索」分析的結果開始。AppScan® Enterprise Server 會根據這項分析來建立測試,然後執行下列動作:
- 傳送一枚指紋,這是開始掃描時的一項特殊要求,通知網站管理員,接下來一系列的要求,將用來測試 Web 伺服器的安全問題。
- 登入應用程式中每個需要鑑別的 URL。
- 在 URL 上執行初步測試,這有助於解譯結果。
- 傳送專為了揭露安全問題而設計的要求來測試 URL。它會以各種變式來重新傳送要求;大約每個參數 40 個變式。伺服器會拒絕其中的部分要求,但多數都會通過,並由 AppScan® Enterprise Server 處理。
- 記錄每個要求的回應,其位於關於此問題報告中。如果要開啟關於此問題報告,請按一下Issue number。
- 判斷測試結果。