jump.to.content
HCL Logo Help Center
HCL TECHNOLOGIES ABOUT US PRODUCTS & SOLUTIONS RESOURCES CONTACT US
歡迎使用
歡迎使用 HCL AppScan Standard 版本 10.0.0 的說明文件
這一節提供基本產品特性和程序的簡短瀏覽,包括使用精靈來設定掃描。
概觀
新增功能
本節說明此版本中的新產品功能和加強功能,以及相關的淘汰和預期變更。
系統需求
機器執行AppScan Standard的最低軟硬體需求摘要。
安裝
安裝精靈會引導您完成快速簡單的程序。
授權
本節說明授權安裝及管理。
自動掃描的運作方式
本主題說明掃描的「階段」和「回合」之間的差異。
Web 應用程式和 Web 服務
這個主題說明在 AppScan 測試網站之前,可用來探索網站的不同方法。
基本工作流程
這個圖表顯示使用掃描配置精靈的簡式 AppScan 工作流程。
瀏覽主視窗
說明 AppScan 主視窗的元件,以及所有功能表和工具列。
歡迎使用畫面
說明當您載入 AppScan 時,可以從「歡迎使用畫面」取得的選項。
指導教學
這個簡易指導教學所進行的步驟,包括利用「掃描配置」精靈來配置簡易應用程式掃描、執行掃描,以及檢閱結果。
掃描範例
掃描範例協助您體驗 AppScan 的用法及可能的掃描結果。
您可以選擇最佳描述您的應用程式的設定以及所需的測試類型,來配置掃描。
掃描配置精靈
您可以利用精靈來快速配置基本掃描。
掃描配置對話框
掃描檔案結構
說明 AppScan Standard SCAN 檔案的基本結構。
掃描範本
掃描範本只是已儲存而可重複使用的掃描配置。
在掃描期間變更配置
本節討論在開始掃描的「測試」階段之前,或是啟動自動掃描之前(包含自動「探索」和「測試」階段),各種手動探索應用程式或服務的方式。
使用 AppScan
手動探索可讓您探索應用程式的特定部分,並且在探索時填寫欄位與表單。這個方式可以確定涵蓋網站的特定區域,且 AppScan 具有正確完成表單所需的資訊。
使用 AppScan 作為記錄 Proxy
您可以使用 AppScan 的「外部資料流量記錄器」作為記錄 Proxy,並使用行動電話、模擬器或仿真器,來手動探索 RESTful 或其他非 SOAP Web 服務,或是不需要安全封套的 SOAP 服務。AppScan 會在其「外部資料流量記錄器」中顯示網域和要求,並且從輸入建立適當的測試。
使用 GSC
「通用服務用戶端 (GSC)」會使用 Web 服務的 WSDL 檔來顯示一個簡單的介面(其中顯示可用的服務),且可讓您輸入參數及檢視結果。請利用此 GSC 介面來手動探索 Web 服務,使得 AppScan 可以使用您的輸入來建立適當的測試。
瞭解如何啟動掃描,以及掃描期間發生何種情況;如何手動操作「探索」階段,以及如何匯出掃描結果。
AppScan 在三個視圖中顯示掃描結果:
應用程式資料
AppScan 提供三種檢視及使用掃描結果的方法:應用程式資料、安全問題和補救作業。這一節說明「應用程式資料」視圖。
安全問題
AppScan 提供三種檢視及使用掃描結果的方法:安全問題、補救作業和應用程式資料。這一節處理「安全問題」視圖。
補救作業
AppScan 提供三種檢視及使用掃描結果的方法:安全問題、補救作業和應用程式資料。這一節處理「補救作業」視圖。
本節說明如何從掃描結果產生報告。
報告概觀
安全報告
「安全報告」提供所發現之安全問題的其他資訊,同時您可以根據您需要的內容類型選擇各式各樣的範本。
業界標準和相符性報告
「業界標準」報告可讓您知道您的應用程式是否符合所選業界委員會的標準;「合規性」報告可讓您知道您的應用程式是否符合特定的法規或法律標準。
差異分析報告
「差異分析」報告會比較兩組掃描結果,顯示其中所發現之 URL 及/或安全問題的差異。
以範本為基礎的報告
「建立報告」對話框的「範本型」標籤,可讓您以 Microsoft® Word DOC 和 DOCX 格式建立報告,其中包含完全符合您需求的資料,以及您定義的文件格式。
本節說明如何使用 HCL AppScan Standard 所提供的其他工具。
「選項」對話框
這一節說明您可以從選項對話框(工具 > 選項)進行控制,以便自訂 AppScan 的選項。
Web 服務精靈延伸
此延伸可讓您使用 Open API 說明檔進行掃描。可以從工具 > 延伸 > Web 服務精靈 (Open API) 取得,延伸預設為啟用。
掃描排程器
使用者定義測試
PowerTool
AppScan 提供五個公用程式的存取權 (PowerTools),每個公用程式都提供特定的特性來協助您管理應用程式安全,或協助您使用 AppScan。
通用服務用戶端 (GSC)
「通用服務用戶端 (GSC)」提供一個簡式介面來顯示可用的服務,且可讓您輸入參數及檢視結果。請利用它來手動探索 SOAP Web 服務,讓 AppScan 能夠使用您的輸入來建立適當的測試。
自訂工具功能表
延伸
日誌
日誌可協助您進行疑難排解。
搜尋結果
您可以過濾任何視圖中的「結果清單」,來尋找特定資料。
本節說明 AppScan Standard 與其他應用程式的整合:
AppScan Enterprise Edition
本節說明 AppScan Standard Edition 和 Enterprise Edition 可互動的方法。
AppScan on Cloud
本節說明 AppScan Standard 可以與 HCL AppScan on Cloud 互動以掃描雲端上的應用程式的方式。
自動化架構
您可使用針對您的 QA 自動化架構所撰寫的 Script(例如 Selenium)來建立 AppScan 掃描的「手動探索」記錄。
本節包含部分適用於進階使用者的最佳實務及使用案例。
進階使用者的工作流程
此工作流程可協助具備 Web 安全領域經驗的使用者達成更徹底的掃描。
使用以參數為基礎的導覽網站
使用單一 URL 呼叫到其所有頁面的網站,需要特定的掃描配置。
掃描現用正式作業環境
在以 AppScan 掃描現用網站之前,應考量下列風險及建議。
瞭解測試最佳化
本節說明「測試最佳化」如何運作,以及如何最妥善地併入您的開發生命週期。
一般常見問題
這個主題處理一般應用程式問題。
疑難排解特性
授權疑難排解
磁碟空間不足
數位簽章疑難排解
匯入舊式掃描範本
如何從 8.6 以前的 AppScan 版本中儲存的掃描,匯入掃描範本。
報告誤判結果
延伸支援模式
「延伸支援模式」會記載所有的 AppScan 活動,以包裝並傳送至您的支援提供者,協助疑難排解有問題的程序。
變更預設瀏覽器
您可以將 AppScan 配置成使用其內建瀏覽器以外的瀏覽器。
登入疑難排解
在「掃描配置 > 登入管理」視圖中,對階段作業偵測問題進行疑難排解的提示。
長時間或永不結束的「探索」階段
對於某些類型的網站來說,「探索」階段可能花很長的時間或永不結束。
多步驟作業疑難排解
疑難排解動作型多步驟作業的一些建議事項。
取代未簽章的延伸
如果要使用舊版 AppScan 所用的未簽章延伸,您可以選擇信任它,或是查看是否有提供簽章的版本可以取代它。
掃描日誌訊息
下列區段包括「掃描日誌」訊息的說明(檢視 > 掃描日誌)。
AppScan® 日誌訊息
下列區段包括 AppScan® 日誌訊息的說明。(說明 > AppScan 日誌)
本節說明透過指令行介面所能使用的語法和選項。
功能表和工具列摘要,以及名詞解釋
主要工具列
瀏覽器工具列
在內嵌的 AppScan® 瀏覽器中,工具列的圖示用來顯示及儲存應用程式的回應畫面。
「檔案」功能表
用來建立、開啟和儲存掃描。
「編輯」功能表
用來自訂掃描結果。
「檢視」功能表
用來決定如何呈現主視窗及顯示哪些資料。
掃描功能表
用來控制掃描。
「工具」功能表
提供各種產生報告和自訂作業工具,其中包括 HCL PowerTool。
「說明」功能表
用來存取文件、取得支援說明,以及取得新的授權。
鍵盤快速鍵
協助工具控制項
說明所有鍵盤快速鍵和控制項。
暫存檔案
說明在正常作業期間,AppScan® 將暫存檔儲存在哪裡,以及如何變更位置。
CWE 支援
CWE(常見弱點列舉)是一份業界標準清單,提供常見軟體弱點的一般名稱。現行版本的 AppScan Standard 支援下列 CWE ID 及其母項或子項 ID。
名詞解釋
本名詞解釋說明 AppScan® Standard 使用者介面和說明文件中所用的術語和字首語。
聯絡資訊
注意事項