工作流程說明

AppScan 提供 Web 應用程式的綜合性評量。它會執行數千項基於一般使用者技術所有層次的測試,以及未獲授權的存取及程式碼注入。

當在您的應用程式上執行掃描時,AppScan 會將測試傳給您的 Web 應用程式。測試的結果是由 AppScan 的網站智慧引擎提供,您會得到廣泛的報告和修正建議,可供加強檢閱和操作。

AppScan 是一個互動式工具:您決定掃描的配置,判斷對結果採取的動作。

AppScan 工作流程包括下列階段:

  1. 選取範本:預先定義的掃描配置便是一個掃描範本。您可以載入「一般掃描」範本、另一個預先定義的範本,或是您先前儲存的範本。(您可以稍後再依照需要來調整現行掃描的配置。)
  2. 應用程式或 Web 服務掃描:掃描 Web 服務時,使用者需要來進行一些手動輸入,以顯示 AppScan 如何使用該服務。
    • AppScan:如果您掃描 Web 服務,或如果您要掃描的應用程式部分不是其 Web 服務,請保持選取這個預設選項。
    • 外部裝置/用戶端:如果您要掃描,請選取這個選項。您可將 AppScan 配置為記錄 Proxy,再透過 AppScan 從外部用戶端傳送要求。
  3. 掃描配置:配置掃描,將您的網站、環境及其他需求的詳細資料列入考量。
  4. (選用)手動探索:登入網站,然後按一下鏈結並填寫表單,就像一般使用者一樣。這是讓 AppScan 瞭解一般使用者如何瀏覽網站的好方法,確保掃描到網站的重要部分,以及提供填寫表單的資料。
  5. (選用)執行 Scan Expert:這會在您網站上執行簡短的前置掃描,來評估配置。Scan Expert 可能會提供變更建議,以增加主要掃描的效率。
  6. 掃描應用程式或服務:這是由「探索」和「測試」階段組成的主要掃描。

    探索階段: AppScan 會搜索您的網站,以一般使用者的身分造訪鏈結並記錄回應。它會建立在您的應用程式中找到的 URL、目錄和檔案等等的階層。這份清單顯示在「應用程式樹狀結構」中(請參閱應用程式樹狀結構)。

    「探索」階段可以自動進行、手動進行,或以兩者的組合方式進行。您也可以匯入先前記錄的手動探索序列所組成的「探索資料檔」(請參閱 匯出手動探索資料)。然後,AppScan 會分析從網站收集的資料,根據它來建立網站的測試。這些測試設計來顯示基礎架構(如商用第三方產品或網際網路系統的安全弱點)與應用程式本身兩者的弱點。

    測試階段:在「測試」階段期間,AppScan 會根據「探索」階段期間所收到的回應來測試您的應用程式,以顯示漏洞並評估其嚴重性。

    在「掃描配置」對話框中,可以查看您的 AppScan 現行版本所包含之所有測試的最新清單 (請參閱測試原則視圖)。

    除了 AppScan 自動建立和執行的測試之外,您也可以建立使用者定義測試(請參閱使用者定義測試)。您的測試可以補充 AppScan 所產生的測試,且可以驗證其所找到的結果。

    測試結果顯示在「結果清單」中,供您檢視和修改它們。結果的完整資料顯示在「明細窗格」中。

  7. (選用)執行惡意軟體測試:這會分析網站上找到的頁面和鏈結是否有惡意及不需要的內容。
    註: 雖然「惡意軟體測試」原則上可以在這個階段執行(在這種情況下,它會使用主要掃描的「探索」階段結果),但實際上,「惡意軟體測試」通常是在即時網站執行,而一般掃描通常是在測試網站執行 (因為掃描即時網站會有發生中斷的風險)。
  8. 檢閱結果,用來評估網站的安全狀態。另外,您也可能想執行下列動作:
    • 手動探索其他鏈結
    • 檢閱補救作業
    • 列印報告
    • 根據檢閱的結果,依需要來調整掃描配置,然後重新掃描
註: 如需這個工作流程簡圖,請參閱基本工作流程