使用 AppScan Enterprise 中的掃描內容來配置安全掃描
安全掃描應該在暫置伺服器或「品質保證」伺服器之類的前置生產環境中執行。這麼做可協助您納入與執行安全掃描相關聯的風險。您的前置正式作業環境應該儘可能鏡映正式作業環境;在這兩個環境中,應用程式應該有相同的執行檔,您才能確知顯現的應用程式正在進行全面的測試。另外,安全掃描也應該整合在「軟體開發生命週期 (SDLC)」程序中,以便在安全問題進入正式作業環境之前就能擷取。
開始之前
- 請確定應用程式處於開發或測試環境。
- 建立一個帶有應用程式擁有者(開發人員或 QA)的時間範圍,以便在掃描應用程式時採用。在您使用 AppScan® Enterprise Server 掃描應用程式期間,該應用程式必須已啟動且正在執行,而且狀態穩定。掃描期間,不應對應用程式進行任何的變更。
- 必須先決定您要執行「手動探索」或自動搜索:
- 「手動探索」意指您將在配置中指出掃描要測試的確切 URL(掃描不會自動搜索來發現新的 URL)。如果 Web 應用程式需要與使用者頻繁互動才能導覽應用程式,或者您只想測試應用程式的特定區域,請使用此方法。
- 自動搜索意指您要將掃描配置成自動探索更多的 URL,以便在 Web 應用程式中進行測試。這個方法用於應用程式有很多靜態鏈結,並且不需與使用者頻繁互動。
程序
- 在「掃描項目」頁面中,輸入應用程式的起始 URL,並且按一下新增。在您新增起始 URL 時,請注意「狀態」直欄。如果出現綠色勾號,表示 AppScan® Enterprise Server 能夠存取 Web 應用程式。如果您看到的是「警告」,可能表示您需要輸入 Proxy 設定或其他鑑別, AppScan® Enterprise Server 才能存取 Web 應用程式。請按一下重新測試。
- 如果 Web 應用程式需要特定的 Proxy 設定或其他鑑別,請移至工作內容中的「連線」頁面,選取 ,然後輸入 Proxy 設定。
- 如果 Web 應用程式需要其他的「平台鑑別」,請在「平台鑑別」區段中選取掃描需要鑑別的頁面,然後輸入使用者名稱與密碼或選取服務帳戶選項。
-
如果您的 Web 應用程式包含 HTML 登入,請移至「登入管理」頁面來錄製登入。按一下
。
-
如果您已識別出 AppScan® Enterprise 所遺漏的任何階段作業 Cookie 名稱,則必須在掃描中配置這些階段作業 Cookie 名稱。有兩種方式可以新增 AppScan® Enterprise 所遺漏的 Cookie。請移至「參數與 Cookie」頁面:
- 選取您想要追蹤的 Cookie 或參數,然後按一下「編輯參數與 Cookie」頁面上的「追蹤」按鈕。
- 按一下新增 ( 圖示)。選取 'Cookie' 作為類型。您可以輸入完整名稱,或輸入正規表示式來作為名稱。選擇階段作業 ID:在掃描期間中追蹤此參數。在掃描期間,AppScan® Enterprise Server 會追蹤這個階段作業 Cookie,並在必要時更新這個值。按一下「完成」。
-
如果您有其他任何需要填寫以配置掃描的表單,請移至「掃描項目」頁面。在「手動探索」區段中,按一下新增現有項目 (),來啟動「手動探索」。如果您只想將掃描限制在「手動探索」範圍,也可以使用「手動探索」來手動選取 URL。Web 應用程式會在另一個瀏覽器視窗中啟動。請在這個視窗中模擬任何的手動導覽或表單填寫;然後關閉視窗,並且儲存您的表單結果。
註: 您可以利用「手動探索」來:
- 錄製 AppScan® Enterprise Server 自動搜索器不會完成的其他任何功能;例如,表單填寫或使用者互動
- 限制只掃描您已錄製的這些 URL 和功能,而不讓 AppScan® Enterprise Server 執行自動搜索
-
在「掃描項目」頁面中,往下捲動到「其他伺服器與網域」清單。檢閱這份清單,如果其中含有您在掃描期間不想讓自動搜索器探索的任何網域,請將它們移除。
註: 如果有網域未併入您測試原則的相關「伺服器群組」中,則不會測試這些網域。請在「安全」頁面中,按一下顯示測試原則詳細資料,查看適用於所選測試原則的伺服器群組及 URL 或 IP 位址。除了在基於這個工作的任何報告中都沒有結果的網域之外,關於不測試未獲授權的 URL,不會有任何指示。請確定您的起始 URL 包括在您選擇的測試原則的相關伺服器群組中。
- 在「要掃描的內容」頁面上,在DAST-易受攻擊的第三方元件偵測部分,報告已識別元件中的漏洞勾選框預設為選中狀態,這使得 AppScan 能夠報告由 AppScan 識別的第三方元件中的漏洞。
-
在「安全」頁面中,輸入您的安全測試選項:
- 如果您想要執行靜態 JavaScript™ 分析以偵測各種用戶端問題,主要是 DOM 型跨網站 Scripting,請維持選取 JavaScript 分析器勾選框。請參閱JavaScript 原始碼分析如何運作。
- 如果您正在掃描會在使用者嘗試登入失敗多次之後封鎖使用者的 Web 應用程式,請清除包含登入和登出頁面的測試勾選框。如此可避免在掃描期間封鎖 AppScan® Enterprise Server。
- 選取一項「安全測試原則」。註: 您只能根據「產品管理者」指派給您的測試原則來選擇測試。如果您未建立這個工作,這個工作就只能執行建立它的「工作管理者」的相關測試。不過,您可以藉由取得工作的所有權(工作的「工作內容」頁面),來變更您可以使用的測試原則及它所能執行的測試。
-
移至「探索選項」頁面:
- 如果您希望掃描執行自動掃描,並且尋找其他 URL,請選取不套用頁面限制。
- 如果您希望掃描只探索並測試您所記錄的登入與手動探索,請選取指定的 URL 限制。
- 如果您正在執行自動搜索,且您的 Web 應用程式使用 JavaScript™ 來動態建置 URL,請選取執行 JavaScript 來探索 URL 及動態內容。
- 按一下儲存,儲存您的選項,並且結束工作內容。