掃描現用正式作業環境
在以 AppScan 掃描現用網站之前,應考量下列風險及建議。
掃描現用網站時,您可以使用預先定義的「正式作業網站」範本。這個範本包括特別選取的「正式作業網站」測試原則,以及設計來將損壞現用網站或導致實際使用者發生「阻斷服務」的風險降至最低的配置設定。
如果您選擇使用自己的配置或測試原則,以下各節可協助您有效地配置掃描。
資料庫可能充滿掃描期間傳送的人工資訊
您可以採取下列預防措施來減少這方面的影響:
- 停用「自動表單填入」(掃描配置 > 自動表單填入 > 第一個勾選框)。
這可確保 AppScan® 不會自動填寫表單而提交可能會塞爆資料庫、公佈欄或線上討論區系統的資料,也不會將不想要的電子郵件傳至管理員或控管者的帳戶。不過,您應該知道,這麼做將限制 AppScan Standard 到達網站區域(藉由提交表單來存取)的能力。在這個作業模式中,AppScan 只會掃描遵循鏈結(包含或不含參數)所能存取的網站區域。
- 建立測試帳戶供 AppScan 使用。
使用測試帳戶可使資料庫變更的追蹤更加容易(例如,確保不會實際訂購服務),以及協助網站管理者在掃描之後清除網站。
建立帳戶時,請考量下列建議:- 限制從資料庫中只能存取測試記錄,以便還原修改過的記錄。
- 確定將會刪除測試帳戶所建立的新記錄。
- 確定將會忽略測試帳戶的採購單(或其他交易)。
- 如果交易具有影響力(例如處理股票時),請只允許帳戶存取測試記錄。
- 如果網站有討論區,請只允許測試帳戶存取測試討論區,這樣一來真正的客戶才不會看到測試階段期間所建立的測試。
- 如果網站會針對不同的帳戶提供不同的專用權,請設定多個測試帳戶,賦予不同的專用權。這可確保能夠進行更全面的網站掃描。
- 請勿建立具有管理者層級存取權的測試帳戶。
電子郵件氾濫的風險
當測試使用電子郵件通知的頁面時,AppScan 會產生許多要求,且可能使網站的電子郵件伺服器超載。
下列一或多個建議可協助處理這項問題:
- 暫時變更所測試頁面上的電子郵件位址,以使電子郵件傳送到無效的電子郵件位址。
- 如果實際可行,請配置 AppScan,以從正式作業掃描中排除這些頁面。
- 一次只掃描一部 Web 伺服器,以防止它在掃描期間連接至 SMTP 伺服器。
- 如果您決定讓「自動表單填入」保持啟用,請將它配置成在電子郵件欄位中插入唯一值,以便收件者能夠輕易識別 AppScan 產生的電子郵件。
透過 Proxy 進行掃描
可能的話,請避免透過 Proxy 進行掃描。雖然支援這項作業,但 Proxy 有時會遮蔽結果。
掃描遭到應用程式鎖定的風險
部分應用程式配置成在一定次數的不正確登入嘗試後鎖定使用者。如果掃描期間發生此問題,很明顯地,AppScan 將無法完成掃描。
如果要避免這個問題,請執行下列動作:
- 停用傳送對登入和登出頁面的測試(掃描配置 > 測試選項)。
導致應用程式失敗的風險
為了避免 AppScan 導致您現用應用程式失敗的風險,您可能會想要取消啟動測試原則中的侵入性測試。這可確保不會傳送「阻斷服務」、「緩衝區溢位」,或可能導致應用程式或 Web 伺服器失敗的其他測試。
如果要在現行測試原則中停用侵入性測試,請執行下列動作:
- 開啟配置 > 測試原則。
- 按一下侵入性直欄,將所有侵入性測試分成一組。
- 向下捲動侵入性測試(「侵入性」值為 "Yes" 的測試),並取消選取目前所選取的任何項目,以從掃描中排除它們。