支援的技術
您的站點使用的某些技術可能會影響 AppScan 的掃描能力,而其他技術則根本不影響掃描。
- AppScan 是一種“黑盒”(DAST) 工具,使用與瀏覽器相同的機制來掃描您的站點。因此,一般而言,對瀏覽器透通的伺服器端技術,對 AppScan 也會是透通的,不會影響掃描。
- JavaScript 和 HTTP 協定本身等的用戶端技術,會影響 AppScan。為了成功掃描,AppScan 利用嵌入在產品中的實際瀏覽器來處理網頁,就像商用瀏覽器一樣。這可確保支援所有常用技術。有時可能需要額外的配置來幫助 AppScan 了解元素的上下文,以進行簡單瀏覽之外的正確處理,通常專門用於掃描的測試階段。
- 支援 WebSocket 登入錄製和登入播放。
AppScan 掃描由兩個主要階段組成:探索和測試。對於每個階段,下表提供了指導原則,幫助您了解哪些服務器端和客戶端技術可能會影響掃描,以及在哪些情況下需要進行配置。
伺服器端技術 | 用戶端技術 | |
---|---|---|
「探索」階段 |
不會影響用戶端的任何伺服器端技術(例如,使用特定資料庫)都不會影響掃描。 如果 AppScan 配置正確,許多確實影響客戶端的機制(例如會話管理)將不會限制掃描。例如,Web 伺服器和應用程式伺服器會影響階段作業 ID 的管理方式,但 AppScan 必須能夠追蹤這些 ID。許多常見的階段作業 ID 都是預先定義的,而且 AppScan 可以自動偵測到,不需要其他的配置。但是,某些自定義機制可能仍然需要額外的配置。 AppScan 特別支援 WebSphere Portal 自訂 URL。WebSphere Portal 編碼 URL 的方式,使其很難如表面般追蹤。AppScan 會解碼 URL,讓它們可以被瞭解及調整。 |
AppScan 會使用完整的內嵌瀏覽器,並自動支援所有主要技術 (HTML5),包括許多熱門的 JavaScript 架構,例如 Angular、React 和 JQuery。 如果自動探索階段由於阻止自動探索的特定技術或實現而丟失頁面,則可以通過在自動探索階段之後和測試階段之前手動探索頁面來將頁面添加到掃描中。 |
「測試」階段 | AppScan 的設計是為了測試應用程式,而不是為了測試其支援技術,因此這些技術不影響測試。再次考慮數據庫:AppScan 的 SQL 注入測試套件獨立於所使用的數據庫。它還提供針對第三方測試(「常見漏洞」測試)的特定測試。 | 使用內嵌瀏覽器來測試用戶端 JavaScript 漏洞。也會使用黑箱 (DAST) 方法來執行測試。瀏覽器環境會受到操控,而且 JavaScript 會依原狀執行以公開漏洞。AppScan 支援新式瀏覽器支援的所有執行方法。 |