“测试选项”视图

“配置”对话框的“测试选项”视图。

该视图允许您配置会影响扫描长度和完整性的各种设置。但是,在大多数情况下,缺省设置就已足够了。

设置

详细信息

测试选项:

使用自适应测试

AppScan 可将成千上万的测试发送到站点。但是,为缩短扫描时间,可以发送初步测试,以明确确定哪些测试是适合发送的,哪些测试是可以省掉的。这就是“自适应测试”,它可以极大地缩短扫描时间,同时不影响效率。

如果您想要 AppScan® 将其全部测试都发送到此站点,请清空此复选框。

允许多阶段扫描

AppScan 会分析发送到应用程序的测试的响应。通常,AppScan 可以从该分析中发现其他内容,如:在扫描的第一“阶段”看不到的链接。多步骤扫描允许 AppScan 在该最新检测内容上重复探索和测试阶段。(通常,由于仅涉及新的链接,因此其他阶段会更短。)

缺省情况下配置的“多阶段扫描”最多允许四个扫描阶段。

注意:仅当运行“全面扫描”时才应用多阶段扫描。如果使用“仅探索”和“仅测试”功能,那么结果将会是单阶段扫描。

将测试发送到登录和注销页面

除非应用程序会阻止提供非法输入的用户,或在 AppScan 测试这些页面时会更改应用程序流,否则建议允许 AppScan 测试登录和注销页面。

在测试登录页面时不发送会话标识

(仅在上一个复选框已选中的情况下才处于活动状态。)建议将此复选框保留为选中状态,因为测试登录页面时会话标识可能会导致测试不成功。仅当您确定需要有效会话令牌来测试登录页面时,才应清除该复选框。

请注意,即使选中该复选框,某些测试仍会与会话标识一起发送以避免产生误报结果。

分析无意中触发的问题的结果

选择该选项时,AppScan 会为除特定测试问题之外的其他安全问题分析每个测试响应。如果应用程序太大,或扫描生成了大量错误肯定结果,那么请取消选中该选项。

包含每个问题的所有变体

(仅在上一个复选框已选中的情况下才处于活动状态。)选择该选项时,AppScan 会分析每个无意中触发的问题的所有变体;取消选择该选项时,只会分析每个问题的一个变体。通常不必选中此复选框,选中后可能会显著延长扫描时间。

仅测试表单提交请求中的 cookie 安全问题

选中时(缺省),AppScan 将仅针对表单提交请求中使用的 cookie 提交 cookie 相关测试。要实现更高的精确性(但会延长扫描时间),请取消选中此复选框,然后 AppScan 将针对所有相关 HTTP 请求来提交 cookie 测试。

保存无漏洞测试变体信息

扫描期间,AppScan 会向它正在测试的站点发送上千的测试变体。这些测试中很多的响应会指出,它们不会构成任何类型的安全威胁,在缺省情况下,AppScan 会废弃所有的这些“无漏洞”结果,这会显著减少结果数据的数量。

如果选中此复选框,那么 AppScan 将保存所有不易受攻击的变体。此时会显示警告:该选项可能会降低 AppScan 性能,并显著增加必需的磁盘空间。

如需了解更多详细信息,请参阅不易受攻击的变体

问题管理:

将之前的干扰分类应用于该扫描

如果您在先前的扫描中将一个或多个问题分类为“干扰”(与应用程序无关),那么除非取消选中此复选框,否则会将相同设置自动应用于将来的扫描。

如需了解更多详细信息,请参阅问题状态:“未解决”或“干扰”

注: 如果在扫描对“测试选项”进行更改,那么可能会提示您重新扫描,因为并非所有的更改都可以应用于现有结果。