“主要”选项卡
“扫描配置 > 探索选项 > 主要”选项卡。
- 探索方法
- AppScan 将两种不同的方法用于扫描的“探索”阶段。可选择任一方法,或选择两种方法。在这两种方法中,“基于请求的探索”通常比“基于操作的探索”的速度更快。选择两种方法后(缺省方法和建议方法),“基于操作的探索”首先运行(有 30 分钟的时间限制),然后运行“基于请求的探索”。
- 页面结构 (DOM) 过滤
- 可通过识别与已扫描页面非常类似的页面(这些页面可被忽略)来极大地减少扫描时间。
- 扫描限制
- 确定 AppScan 探索应用程序的深度(或速度)。
- 其他设置
- 用于配置客户机,以识别特定服务器编码和发送特定“用户代理程序”头。
设置 |
详细信息 |
---|---|
探索方法 |
|
基于操作 |
Google Chrome 浏览器用于扫描站点,例如单击浏览器中可见的链接,正如用户的操作一般。在使用了新技术(例如 JavaScript 和会话存储)的情况下以及对于 RIA、单页面应用程序 (SPA) 或 AngularJS 等站点,该方法特别有效。 |
基于请求 |
请求将根据 AppScan 发现的所有页面内容来发送。这包含了对使用浏览器的用户不可见的内容,例如注释中的链接,而攻击者可找到这些内容。 |
页面结构 (DOM) 过滤 |
|
基于结构 (DOM) 过滤类似页面 |
AppScan® 将新页面与已扫描的页面进行比较以发现结构 (DOM) 相似性,这指示新页面不包含需要其他测试的新链接或内容。例如,在商业站点上,可能存在包含上千个不同项的各个页面的目录,而这些项在其他所有方面都是相同的。通常不需要扫描所有这些页面。基于 DOM 相似性过滤可极大地减少扫描时间。 缺省情况下,两个复选框均已选中。扫描之后,应检查扫描结果的“已扫描”选项卡以查看是否有某些独特的请求被错误地从扫描过滤出去。如果发生该情况,应尝试“过滤更少页面”选项(这将维护稳定、低级别的过滤),或一起禁用 DOM 过滤。 在结果的“已过滤”选项卡中将找到三种类型的已过滤项:
|
根据结构 (DOM) 过滤可能类似的页面 |
该设置将从扫描过滤“可能类似的 DOM”页面。如果独特的请求被错误地从扫描中过滤掉,因清除该复选框。 |
扫描限制 |
|
冗余路径限制 |
AppScan 将不访问多于指定次数的相同路径。 如果特定路径出现不同参数,那么可多次访问特定路径。此限制主要与脚本相关。缺省情况下将取消选择该项,因为在大多数情况下,选择上面的复选框根据结构 (DOM) 过滤重复页面将足以控制扫描时间。 |
单击深度限制 |
AppScan 对于需要单击超过指定链接数才能访问的页面,不会对其进行扫描。 |
总页面限制 |
如果选中,那么 AppScan 将不会访问多于定义的最大页面数。请注意,在每个页面上可能会探索许多 URL。 |
其他设置 |
|
编码 |
AppScan 通常会自动检测应用程序的编码方法,因此缺省情况下会选中自动检测。 如果扫描结果中的响应内容似乎失真,那么这可能意味着未正确识别编码方法。要解决此问题,请从下拉列表中选择正确的编码方法。 |
User-Agent |
HTTP 请求中的“用户代理程序”头通知服务器发送请求的是什么类型的客户机,这可能会影响服务器返回的内容。例如,有些内容可能是特定于移动电话的,仅当用户代理程序是移动电话浏览器时才会发送。为了使 AppScan 可以测试这些内容,您需要对其进行配置以发送适当的“用户代理程序”头。 AppScan 通常会自动检测用户代理程序,因此缺省情况下会选中自动检测。但是,如果您使用的浏览器不是内置浏览器,且不记录登录过程、多步骤操作或手动探索,AppScan 将无法自动检测用户代理程序,因此您必须手动选择用户代理程序。 要更改用户代理程序,请从下拉列表中选择代理程序。 要输入定制内容,请单击编辑按钮并输入内容。关闭对话框后,按钮的名称将变为定制用户代理程序。 注意:如果您更改缺省浏览器,请参阅更改缺省浏览器中列出的条件 |