“复审并验证”选项卡

“扫描配置 > 登录管理 > 复审并验证”选项卡

对登录序列进行记录时,AppScan 将对操作和请求均进行记录。这些内容显示在两个子选项卡上:'“操作”和“请求”。回放登录时,AppScan 将尝试(缺省情况下)重现基于操作的登录;如果该操作不成功,那么它将使用基于请求的登录。

该选项卡用于复审和编辑:
  • 登录序列的基于操作的版本
  • 登录序列的基于请求的版本
  • 会话中检测请求
  • 会话中(或会话外)检测模式
它还用于:
  • 验证当前设置
表 1. “复审并验证”选项卡设置

设置

详细信息

登录回放

只有选定的登录方法是“记录的登录”时,才会显示此部分

登录回放方法

AppScan 会保存两个版本的您记录的登录序列:一个基于您执行的操作,另一个基于实际发送的 HTTP 请求。
  • 基于操作:(缺省情况下尽可能使用)AppScan 将尝试使用基于操作的登录来登录(回放用户的单击和击键)。
    • 基于操作的播放器按钮 重放:打开基于操作的播放器并重放其浏览器中记录的登录序列。
    • 编辑:打开基于操作的编辑器以查看并编辑登录记录的详细信息。
  • 基于请求:如果第一个方法失败,则 AppScan 将使用基于请求的版本,该版本将重新发送登录记录中的原始 HTTP 请求。
如果消息指示某个方法失败,请使用另一个方法。
注: 如果选择基于操作的登录,并且在扫描期间失败,AppScan 将尝试基于请求的登录。如果该方法成功,此处的设置将自动更改为“基于请求”。

自动登录

只有选定的登录方法是“自动登录”时,才会显示此部分

自动检测会话中配置按钮 单击 AppScan 以执行以下操作:
  • 尝试使用您提供的凭证登录站点
  • 识别登录页面上的会话中检测模式(请参阅下面的内容)
  • 配置会话标识(请参阅“会话标识”选项卡

会话检测

AppScan 必须随时知道它是登录还是退出站点,以便正确评估站点的响应。在扫描期间,AppScan 重复发送会话中请求,并且检查响应是否包含“会话中检测模式”以验证其是否仍然处于已登录状态。如果 AppScan 在页面的响应中未找到该模式,那么 AppScan 会认为其已注销,并会通过重放登录序列来尝试重新登录。由此可知,在扫描期间,登录序列通常会被播放许多次。因此,登录序列最好包含尽可能少的步骤。如果会话中页面是一个小页面,并且不包含被跟踪的参数或 cookie,那么也会很有帮助,因为这些也可能会显著延长扫描时间。

会话中检测请求

这是 AppScan 用来验证其是否仍处于会话中的请求。此请求应该根据用户是否登录来生成不同的响应。

AppScan 尝试会识别有效的会话中请求,您可以从下拉列表中选择其中一个请求。如果没有找到请求,或者在适用时,您可以使用高级请求选择按钮来选择您自己的请求。

高级请求选择按钮

此按钮会打开一个对话框,您可以在其中查看登录序列中的请求,并选择会话中检测请求。有关详细信息,请参阅“高级会话中请求选择”对话框

会话中检测模式

(仅当选中“会话中检测请求”时才会变为活动:)此字段显示在选定会话中检测请求中找到的模式,该模式指示用户处于会话中(或会话外,如果该选项被选中)。

下拉列表允许您从 AppScan 在“登录”记录中标识的候选项中选择检测模式,模式下方的绿色或红色消息指示当前模式是否有效。
注: 通常首选使用会话中模式。但是,在极少数情况下,会话中模式并不总是在会话中请求之后返回,或者定义会话很复杂,此时,您可以改为使用会话外模式。
如果 AppScan 不能识别任何有效模式,或者如果您需要选择不同的模式,请使用高级模式选择按钮(该表中的下一行)。

RegExp:选中此复选框可输入正则表达式来识别模式。

高级模式选择按钮

(仅当选中“会话中检测请求”时才会变为活动:)此按钮将打开选择检测模式对话框,以您记录的登录序列(基于选定检测模式)显示对请求的会话中和会话外响应的内容。它允许您在响应的上下文中查看选择的检测模式,并定义列在组合框中的检测模式。此对话框允许您切换所有记录的响应。在对话框的上部,您还可以看到 AppScan 发送的会话中和会话外请求。

验证

验证

按钮
(仅当未对当前登录序列进行验证时才会变为活动:)单击以验证序列和会话检测模式。

钥匙图标

钥匙图标表示“会话中检测”配置状态:

绿色钥匙图标 已启用并配置。(会话中页面已自动或由用户在登录序列中识别。)

橙色钥匙图标 已启用但未完全配置

红色钥匙图标 已启用但配置失败。

灰色钥匙图标 已禁用。

有关详细信息,请参阅 “选择检测模式”对话框