内置扫描配置
AppScan® 源代码 提供内置扫描配置。不能修改或除去这些配置。在列表中选择这些配置时,您能够复制它们或查看其设置。可在服务器模式或本地模式下访问内置配置。
扫描配置
通过扫描配置,您能够调整扫描的分析和输出以满足不同类型的应用程序、扫描环境和安全过程的特定需求。这些配置可能关注应用程序交互的特定资源、DevSecOps 流程的特定时间要求或安全团队已识别的特定漏洞。
通过设置控制分析过程的各种参数来完成扫描调整。参数分组为扫描规则和高级设置。AppScan® 源代码 内置扫描配置基于客户已识别的特定情况。
AppScan® 源代码 包括以下内置扫描配置:
- Android
- 遵循所有虚拟呼叫目标
- 大应用程序
- 最大化结果数
- 最大化跟踪数
- 大中型应用程序
- 正常
- 快速
- 服务代码
- 用户输入漏洞
- Web 平衡
- Web 深度
- Web 预览
- Web 快速
- Web
扫描配置分组
内置扫描配置提供了一系列常见扫描详细信息、速度和大小。通常,扫描可以分类为:
- 正常
- 通用
- Web
- 其他
根据要扫描的数据类型和其他扫描配置详细信息,较大型的扫描实际上可能会执行更浅的分析以减少时间和/或空间资源需求。因此,必须了解要扫描的内容以及任何扫描所需的结果类型(无论是内置扫描配置还是自定义配置)。
正常扫描
这是缺省扫描配置,使用参数的缺省值。这种配置对于所有类型的应用程序都很有用,并且提供了所用时间、分析深度和结果数的平衡。请注意,可以在 ozsettings 文件(ipva.ozsettings、ounce.ozsettings、scan.ozsettings 等)中更改缺省值。
通用扫描
这组配置适用于任何类型的应用程序,其持续时间从最快到最长不等,结果数按以下顺序逐渐增加:
- 大应用程序扫描
- 快速扫描
- 大中型应用程序扫描
- 遵循所有虚拟呼叫目标扫描
- 最大化跟踪数
- 最大化结果数
Web 扫描
这组配置最适用于 Web 应用程序。这些扫描的持续时间从最快到最长不等,结果数也按以下顺序逐渐增加:
- Web 快速扫描
- Web 预览扫描
- Web 扫描
- Web 平衡扫描
- Web 深度扫描
其他
- 服务代码扫描适用于 Web 服务、库和 REST 应用程序
- Android 扫描适用于 Android 环境中的移动应用程序。
- 用户输入漏洞扫描关注 Web 应用程序的外部用户或桌面应用程序的内部用户提供的输入。
扫描规则
扫描规则是一系列参数,用于控制对应用程序具有潜在威胁的输入的选择。可以将扫描规则配置为关注开发人员或安全团队特别感兴趣的输入。减少检查的输入数可以缩短扫描时间。注: 有关每个扫描规则的其他信息,请参阅 “扫描配置”视图。
扫描规则 | |||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
全部 | 用户输入 | Web 应用程序 | 错误处理和日志记录 | 环境 | 外部系统 | 数据存储器 | 异常内容 | 文件系统 | 敏感数据 | ||
扫描配置 | 正常(缺省) | X | |||||||||
Android | X | ||||||||||
遵循所有虚拟呼叫目标 | X | ||||||||||
大应用程序 | X | X | X | ||||||||
最大化结果数 | X | ||||||||||
最大化跟踪数 | X | ||||||||||
中到大型 | X | ||||||||||
快速 | X | X | X | X | X | X | X | ||||
服务代码 | X | ||||||||||
用户输入漏洞 | X | ||||||||||
Web 平衡 | X | X | X | X | X | X | |||||
Web 深度 | X | X | X | X | X | X | |||||
Web 预览 | X | X | X | X | X | X | |||||
Web 快速 | X | X | X | X | X | X | |||||
Web | X | X | X | X | X |
高级设置
高级设置是一系列参数,通常控制分析所花费的时间以及分析应用程序的深度。通常,将这些参数设置为较低的时间限制或限制分析深度可以缩短扫描的持续时间并减少结果数。
注: 如果未指定值或在用户界面中列示为“<Inherited>”,那么它与在 ozsettings 文件(ipva.ozsettings、scan.ozsettings 等)中设置的与“正常”扫描相关联的缺省值相同。此处为“正常”扫描列出的值是系统原始值。
高级设置 | ||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
自动回调标记 | 自动传播器标记 | 显示跳过消息 | 过滤定制规则 | 初始化修剪探索 | IPVA 每个根时间限制 | 无直接插入验证 | 原型跟踪 | 替换集/获取属性调用 | 显示信息性结果 | 单个虚拟呼叫 | 禁止处理受限消息 | 虚拟呼叫自动回调消息 | 虚拟呼叫计数 | WAFL 全局跟踪 | ||
扫描配置 | 正常(缺省) | False | False | False | True | 7 | 50 | False | 0(全部) | False | False | True | True | 0 | 0(全部) | True |
Android | 7 | 50 | True | True | 0 | True | ||||||||||
遵循所有虚拟呼叫目标 | False | 0 | ||||||||||||||
大应用程序 | 100 | 2 | 1 | True | False | |||||||||||
最大化结果数 | True | True | 0 | 50 | True | False | 0 | True | ||||||||
最大化跟踪数 | True | True | 0 | 50 | False | 0 | True | |||||||||
中到大型 | False | 100 | 4 | True | 1 | True | False | 5 | True | |||||||
快速 | 100 | 2 | 1 | False | True | |||||||||||
服务代码 | True | False | 100 | 4 | True | 1 | True | False | 5 | True | ||||||
用户输入漏洞 | False | 100 | 4 | True | 1 | False | 5 | |||||||||
Web 平衡 | ||||||||||||||||
Web 深度 | True | True | 9 | 50 | True | False | 0 | True | ||||||||
Web 预览 | 100 | 2 | 1 | True | False | |||||||||||
Web 快速 | 100 | 2 | 1 | True | False | |||||||||||
Web | 7 | 50 | 0 | True | True | 0 | True |