使用 AppScan Enterprise 中的掃描內容來配置安全掃描

安全掃描應該在暫置伺服器或「品質保證」伺服器之類的前置生產環境中執行。這麼做可協助您納入與執行安全掃描相關聯的風險。您的前置正式作業環境應該儘可能鏡映正式作業環境;在這兩個環境中,應用程式應該有相同的執行檔,您才能確知顯現的應用程式正在進行全面的測試。另外,安全掃描也應該整合在「軟體開發生命週期 (SDLC)」程序中,以便在安全問題進入正式作業環境之前就能擷取。

ASE 工作流程掃描按一下此區域取得有關建立應用程式清單的資訊判定風險按一下此區域取得有關分類問題的資訊按一下此區域取得有關評估業務風險的資訊

開始之前

  1. 請確定應用程式處於開發或測試環境。
  2. 建立一個帶有應用程式擁有者(開發人員或 QA)的時間範圍,以便在掃描應用程式時採用。在您使用 AppScan® Enterprise Server 掃描應用程式期間,該應用程式必須已啟動且正在執行,而且狀態穩定。掃描期間,不應對應用程式進行任何的變更。
  3. 必須先決定您要執行「手動探索」或自動搜索:
    • 「手動探索」意指您將在配置中指出掃描要測試的確切 URL(掃描不會自動搜索來發現新的 URL)。如果 Web 應用程式需要與使用者頻繁互動才能導覽應用程式,或者您只想測試應用程式的特定區域,請使用此方法。
    • 自動搜索意指您要將掃描配置成自動探索更多的 URL,以便在 Web 應用程式中進行測試。這個方法用於應用程式有很多靜態鏈結,並且不需與使用者頻繁互動。

程序

  1. 在「掃描項目」頁面中,輸入應用程式的起始 URL,並且按一下新增。在您新增起始 URL 時,請注意「狀態」直欄。如果出現綠色勾號,表示 AppScan® Enterprise Server 能夠存取 Web 應用程式。如果您看到的是「警告」,可能表示您需要輸入 Proxy 設定或其他鑑別, AppScan® Enterprise Server 才能存取 Web 應用程式。請按一下重新測試
  2. 如果 Web 應用程式需要特定的 Proxy 設定或其他鑑別,請移至工作內容中的「連線」頁面,選取 Proxy > 使用自訂 Proxy 設定,然後輸入 Proxy 設定。
  3. 如果 Web 應用程式需要其他的「平台鑑別」,請在「平台鑑別」區段中選取掃描需要鑑別的頁面,然後輸入使用者名稱與密碼或選取服務帳戶選項。
  4. 如果您的 Web 應用程式包含 HTML 登入,請移至「登入管理」頁面來錄製登入。按一下已記錄 > 記錄登入
    1. Web 應用程式將在錄製瀏覽器中啟動。請模擬登入,並且關閉瀏覽器視窗。
    2. 錄製登入並關閉蹦現視窗之後,您在登入期間所發現的 URL 都會列在「登入序列 URL」頁面中。按一下儲存,來儲存序列。URL 應會列在「登入管理」頁面。
    3. 從清單中選取 URL,並且按一下「檢視 HTTP 要求」(檢視 HTTP 要求) 圖示。
      註: 您將看到針對該 URL 所錄製的完整 HTTP 要求。請尋找「HTTP 要求」中所傳送的 Cookie。'Cookie' 行中會識別這些 Cookie。為了在掃描期間順利完成安全測試,必須識別 Web 應用程式所用的所有階段作業 Cookie。在所錄製的登入 HTTP 要求中查看此行,即可知道 Web 應用程式的階段作業 Cookie 名稱。此行中的所有 Cookie 未必都是階段作業 Cookie。有時您可能需要向 Web 應用程式的開發人員查詢。階段作業 Cookie 通常含有 'session' 或 'id',但在某些情況卻不包含。依預設,AppScan® Enterprise 會自動識別許多階段作業 Cookie 名稱。
  5. 如果您已識別出 AppScan® Enterprise 所遺漏的任何階段作業 Cookie 名稱,則必須在掃描中配置這些階段作業 Cookie 名稱。有兩種方式可以新增 AppScan® Enterprise 所遺漏的 Cookie。請移至「參數與 Cookie」頁面:
    1. 選取您想要追蹤的 Cookie 或參數,然後按一下「編輯參數與 Cookie」頁面上的「追蹤」按鈕。
    2. 按一下新增 ( 圖示)。選取 'Cookie' 作為類型。您可以輸入完整名稱,或輸入正規表示式來作為名稱。選擇階段作業 ID:在掃描期間中追蹤此參數。在掃描期間,AppScan® Enterprise Server 會追蹤這個階段作業 Cookie,並在必要時更新這個值。按一下「完成」。
  6. 如果您有其他任何需要填寫以配置掃描的表單,請移至「掃描項目」頁面。在「手動探索」區段中,按一下新增現有項目 (新增現有項目),來啟動「手動探索」。如果您只想將掃描限制在「手動探索」範圍,也可以使用「手動探索」來手動選取 URL。Web 應用程式會在另一個瀏覽器視窗中啟動。請在這個視窗中模擬任何的手動導覽或表單填寫;然後關閉視窗,並且儲存您的表單結果。
    註: 您可以利用「手動探索」來:
    • 錄製 AppScan® Enterprise Server 自動搜索器不會完成的其他任何功能;例如,表單填寫或使用者互動
    • 限制只掃描您已錄製的這些 URL 和功能,而不讓 AppScan® Enterprise Server 執行自動搜索
  7. 在「掃描項目」頁面中,往下捲動到「其他伺服器與網域」清單。檢閱這份清單,如果其中含有您在掃描期間不想讓自動搜索器探索的任何網域,請將它們移除。
    註: 如果有網域未併入您測試原則的相關「伺服器群組」中,則不會測試這些網域。請在「安全」頁面中,按一下顯示測試原則詳細資料,查看適用於所選測試原則的伺服器群組及 URL 或 IP 位址。除了在基於這個工作的任何報告中都沒有結果的網域之外,關於不測試未獲授權的 URL,不會有任何指示。請確定您的起始 URL 包括在您選擇的測試原則的相關伺服器群組中。
  8. 在「要掃描的內容」頁面上,在DAST-易受攻擊的第三方元件偵測部分,報告已識別元件中的漏洞勾選框預設為選中狀態,這使得 AppScan 能夠報告由 AppScan 識別的第三方元件中的漏洞。
  9. 在「安全」頁面中,輸入您的安全測試選項:
    • 如果您想要執行靜態 JavaScript 分析以偵測各種用戶端問題,主要是 DOM 型跨網站 Scripting,請維持選取 JavaScript 分析器勾選框。請參閱JavaScript 原始碼分析如何運作
    • 如果您正在掃描會在使用者嘗試登入失敗多次之後封鎖使用者的 Web 應用程式,請清除包含登入和登出頁面的測試勾選框。如此可避免在掃描期間封鎖 AppScan® Enterprise Server。
    • 選取一項「安全測試原則」。
      註: 您只能根據「產品管理者」指派給您的測試原則來選擇測試。如果您未建立這個工作,這個工作就只能執行建立它的「工作管理者」的相關測試。不過,您可以藉由取得工作的所有權(工作的「工作內容」頁面),來變更您可以使用的測試原則及它所能執行的測試。
  10. 移至「探索選項」頁面:
    1. 如果您希望掃描執行自動掃描,並且尋找其他 URL,請選取不套用頁面限制
    2. 如果您希望掃描只探索並測試您所記錄的登入與手動探索,請選取指定的 URL 限制
    3. 如果您正在執行自動搜索,且您的 Web 應用程式使用 JavaScript 來動態建置 URL,請選取執行 JavaScript 來探索 URL 及動態內容
  11. 按一下儲存,儲存您的選項,並且結束工作內容。