安全測試原則
安全測試原則是一組預先定義的安全測試。將伺服器群組及測試原則指派給使用者之後,使用者才能執行安全掃描。
管理者不需要被授予測試原則的明確存取權,也不需要被指派給某個伺服器群組。測試原則有兩種可用類型:
- Simple security test policy定義高階的測試。您可以在 AppScan® Enterprise Server 中建立和編輯簡易測試原則,再將它們指派給伺服器群組。
- Advanced security test policy以較深入的觀點來定義測試。您可以從 AppScan® 7.7(或更新的版本)匯入進階測試原則,將它們指派給伺服器群組,但您無法編輯它們的內容:
- 僅限應用程式:包含侵入性測試及埠接聽器測試以外的所有應用程式層次測試。
- 完成:包含所有 AppScan® 測試。
- 預設值:包含侵入性測試及埠接聽器測試以外的所有測試。
- 開發人員錦囊:精選一組成功率極高的應用程式測試。很適合在時間有限的情況下用來評估網站。
- 僅基礎架構:包含侵入性測試及埠接聽器測試以外的所有基礎架構層次測試。
- 侵入性:包含所有侵入性測試(可能影響伺服器穩定性的測試)。
- OWASP Top 10 - 2021: 包括除侵入式測試和連接埠偵聽器測試之外的所有測試。
- OWASP Top 10 API Security Risks - 2023: 包括除侵入式測試和連接埠偵聽器測試之外的所有測試。
- 正式作業網站:排除可能會損壞網站的侵入式測試,或是可能會導致其他使用者發生「阻斷服務」的測試。
- 關鍵少數:精選一組成功率極高的測試。很適合在時間有限的情況下用來評估網站。
- 僅第三方:包含侵入性測試及埠接聽器測試以外的所有協力廠商層次測試。
- Web Services (已棄用):包含侵入性測試及埠接聽器測試以外的所有 SOAP 相關測試。
從 AppScan Standard 常見問題
移除「Web 服務」、「關鍵少數」和「開發人員錦囊」測試原則時,有哪些測試原則可以加以替代?
- 在 10.0.5 版中,已公告想要在未來版本中移除三個測試原則。下列方法可以用來取得類似的結果。如果您使用這些原則,可能會希望開始使用建議的替代方案。
現行原則 建議的替代方案 Web 服務 預設值 預設測試原則現在涵蓋 Web 服務,因此不需要有個別的原則。
關鍵少數 預設值 將預設原則與最快的測試最佳化設定一起使用。
開發人員錦囊 預設值 將「僅限應用程式」的原則與其中一個更快的測試最佳化設定一起使用。