檢閱產品的參照資訊。
進一步瞭解資料夾瀏覽器主題。
進一步瞭解如何在資料夾瀏覽器中建立掃描。
請利用這項作業,以複式配置來配置進階掃描。如果 Web 應用程式需要與使用者頻繁互動才能導覽應用程式,或者您只想測試應用程式的特定區域,請使用此方法。
配置掃描如何處理 Web 應用程式的登入和登出頁面。請利用登入序列來遵循複雜登入程序,或輸入用來偵測掃描將遇到之登出頁面的正規表示式。識別登出頁面,是為了防止掃描提早登出應用程式或網站。
識別登出頁面,是為了防止掃描提早登出應用程式或網站。
歡迎使用 HCL AppScan Enterprise 10.7.0 文檔,您可以在其中找到有關如何安裝、維護和使用 HCL AppScan Enterprise 的資訊。
協助工具特性可協助有殘障 (例如,行動受限或視力受限) 的使用者順利地使用資訊技術產品。
學習如何安裝產品。
學習如何升級產品。
學習如何將產品與其他解決方案整合在一起。
瞭解如何使用 REST API 和外掛程式來延伸產品。
學習最佳實務,以瞭解如何使用產品。
學習如何配置產品。
學習如何管理產品。
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
為了協助您瞭解、隔離及解析您的 HCL® 軟體的問題,疑難排解和支援資訊包含您的 HCL 產品所提供之問題判斷資源的使用指示。
進一步瞭解配置精靈主題。
瞭解如何使用資料夾瀏覽器。
QuickScan 範本包含一個內容掃描工作或是匯入工作,再加上報告套件。在「資料夾」清單裡的「範本」資料夾中建立好掃描範本之後,它們會自動成為備妥的掃描範本,可供 QuickScan 使用者取用,也可供在「顯示資料夾瀏覽器」清單中開啟了 QuickScan 視圖的更進階使用者取用。當 QuickScan 使用者建立一項掃描時,系統會依據範本建立工作和報告套件,但只在針對該 QuickScan 使用者時,才會顯示為一項掃描。
請利用這項作業,以最小的配置來配置基本掃描。此掃描將自動在 Web 應用程式中探索更多 URL 以進行測試。這個方法用於應用程式有很多靜態鏈結,並且不需與使用者頻繁互動。此掃描並不會針對安全問題進行測試,但可協助您開始探索網站,以判斷完整網站涵蓋面。
安全掃描應該在暫置伺服器或「品質保證」伺服器之類的前置生產環境中執行。這麼做可協助您納入與執行安全掃描相關聯的風險。您的前置正式作業環境應該儘可能鏡映正式作業環境;在這兩個環境中,應用程式應該有相同的執行檔,您才能確知顯現的應用程式正在進行全面的測試。另外,安全掃描也應該整合在「軟體開發生命週期 (SDLC)」程序中,以便在安全問題進入正式作業環境之前就能擷取。
安全掃描有兩個個別階段:「探索」和「測試」。
配置安全掃描必須很小心,這樣它才能夠找到您 Web 應用程式中的所有 URL,並測試其中是否有漏洞。
HCL AppScan Enterprise 是一個可擴充的企業解決方案,可讓組織管理其 Web 應用程式和 Web API 的應用程式安全程式。它具備尖端的方法和技術,可以識別安全漏洞,避免應用程式遭受網路攻擊的威脅。
「JavaScript™ 安全分析器 (JSA)」執行靜態 JavaScript 原始碼分析,以偵測一系列用戶端問題,主要是 DOM 型跨網站 Scripting。JSA 會分析 AppScan® Enterprise 在「探索」階段期間所收集的 HTML 頁面。JSA 會在「測試」階段進行的同時執行,也可以隨時在現有的「探索」結果上手動啟動。
如果要將其他網域和多重伺服器環境列入考量,請新增任何其他伺服器和網域到掃描的「掃描項目」頁面中。
XRule 是一份 XML Script,用來加強對於網站或應用程式的掃描作業,以及搜尋資料庫來找出掃描所收集的資訊。當利用它來加強工作掃描網站的能力時,XRule 可以在 Flash 檔內尋找鏈結,在 JavaScript™ 內尋找動態建立的鏈結,或通過登入常式。
指定要掃描的入口網站。
設定掃描限制,讓掃描有其焦點。您可以利用頁數、重複內容路徑或點選深度,來限制掃描。
排除項目是用來在掃描期間排除特定檔案、目錄或檔案類型,不需要進行分析。您的網站可能會有一個區段,倘若併入分析,也許會因為在建構中,有已知問題,將負面影響整體掃描結果。藉由排除這個網站區段,您可以防止它影響報告和儀表板結果。
正規化規則可以協助掃描工作判斷 URL 和表單是否唯一,以免在報告中不正確地重複。
您可能會有需要特殊處理的參數和 Cookie,例如,您不要掃描去操作的階段作業 ID 和參數。
在應用程式登入期間,要讓自動化程式能夠正確探索階段作業 ID、處理 JavaScript™ 執行作業、略過安全控制項,或識別「階段作業中頁面」,相當具有挑戰性。
記錄登入序列可讓您教導掃描登入網站的程序:按哪些鏈結、在表單中輸入哪些文字,以及它們的執行順序。
您可以配置使用者名稱與密碼認證,讓掃描自動使用它們來登入應用程式。
利用階段作業中的偵測,掃描可以偵測它是否已登出試圖測試的應用程式。階段作業內型樣是一個在頁面中識別的型樣(例如:登出鏈結),可供掃描用來驗證是否仍為登入狀態。在錄製的登入序列期間,掃描會識別階段作業中頁面。如果這不是您要用於階段作業內偵測的頁面,您可以變更它。
「自動表單填入」用來將它所遇到的表單欄位值提供給內容掃描工作。當使用您提供的欄位值時,掃描便無須中斷,得以繼續探索其他 URL 和內容來進行分析。
定義掃描工作連接您的網路時所表現的行為。
當掃描工作遇到一個需要 Windows™ NT® 鑑別的頁面時,自動會提供您所選擇的使用者名稱和密碼。對於已鑑別的頁面,您可以新增使用者名稱和密碼。用戶端憑證指定掃描引擎及手動探索/已錄製的登入是根據特定用戶端憑證檔或服務帳戶的憑證儲存庫來接受試圖掃描之伺服器的鑑別。
網站上利用自訂錯誤頁面來確保使用者在遇到中斷鏈結時,不會走到「盡頭」。相反地,錯誤頁面會引導使用者進入另一頁,例如首頁。
當網站要求資訊時,請務必讓網站訪客很容易判斷資料的用途。網站的隱私權原則說明收集資料的原因、誰將有權存取這項資料,以及資料提交之後,網站訪客所擁有關於這項資料的權利類型。在含有收集個人資料之表單的頁面中,提供控管這項資料之隱私權原則的鏈結,是在必要之時,向使用者提供資訊的最佳方式。
「手動探索」意指您將在配置中指出掃描要測試的確切 URL(掃描不會自動搜索來發現新的 URL)。如果 Web 應用程式需要與使用者頻繁互動才能導覽應用程式,或者您只想測試應用程式的特定區域,請使用此方法。
從 AppScan® Source 匯入資料,以便讓它的發現項目和現有的動態分析安全掃描(AppScan Enterprise Server 內容掃描工作或 AppScan Standard 匯入工作)建立關聯。
「測試最佳化」會使用 AppScan® 的智慧型測試過濾,以在需要速度時實現更快的掃描,並將問題涵蓋範圍的損失降至最低。您可以在四種最佳化層次之間進行選擇,取決於您的需求。
重新測試安全問題是一種快速的方法,供您驗證確實修復了問題。您可以選取一或多個已修正的問題,立即加以重新測試,並不需要執行整個工作來查看結果。
AppScan Standard 中的動作型登入功能會在瀏覽器中產生使用者的實際動作,而不只是要求,並在瀏覽器中重播該序列。您可以在 AppScan Standard 中建立動作型登入並將它匯入 AppScan Enterprise 來運用這項功能,以協助避免在掃描期間發生離開階段作業事件。
您可以將從 AppScan® Standard 7.x 版(以及更新版本)匯出的資料,匯入到 AppScan Enterprise。匯入這項資料可以節省時間,縮減重複作業。只會匯入來自 AppScan.exd 檔的 URL(參數及網域)和 HTTP 要求。
匯入工作從資料檔取得結果,再將它整合到 AppScan® Enterprise Server 資料庫中。匯入的資料可用來建立報告和儀表板。另外,還可以與內容掃描工作的資料結合起來,建立您完整的問題圖像。
執行工作之後會自動產生報告。這些報告提供管理問題的方法,可協助您管理組織的重要問題,並且以 Enterprise Console 的工作流程及組織內其他程序的工作流程都支援的方式來執行這項作業。
包含整合、Helper Script、公用程式、有用的範例、程式庫,以及其他 HCL AppScan 相關資源的 GitHub 集合。