会话标识

如果站点使用时间限制的会话标识(以 cookie 或参数的形式),那么站点将会拒绝包含到期令牌的请求;可导致站点测试失败。

因此,AppScan 必须能够识别和处理作为受时间限制的会话标识的 HTML 参数或 cookie。AppScan 将为会话标识分配最新的可用值,从而防止应用程序会话过期。

您可以确定 AppScan 是否应自动更新会话标识的值。设置会话标识的状态

  • 登录值:(推荐)发送包含此参数的测试请求时, 在会话中请求前,AppScan 将以从应用程序接收的最新值自动更新会话标识。
    提示: 要跟踪会话中响应内的参数,必须将其类型设置为动态值而非登录值,并验证扫描配置 > 高级配置 > 会话管理:解析会话中页面是否设置为 True(缺省设置)。
    建议此状态用于多数参数和 cookie,除非存在设置特定值的特定需要。但是,使用“登录值”会话标识时,若此值在数据库中,那么它有可能到期。
    注: 如果记录登录步骤是多步骤序列的一部分,则将已接收的参数定义为“登录值”不会影响它的使用方式。它将始终被视为“动态值”。如需了解详细信息,请参阅“多步骤操作”视图

    要在数据库中更新被跟踪的会话标识,请执行以下操作:只需在运行扫描前,访问会话标识发送到的 URL。将发送一个新的会话标识,具有已更新的值。

  • 动态值:AppScan 会在“测试”阶段,根据 Web 应用程序在先前测试中设置的新值,自动更新会话标识值(例如,“影子 cookie”)。

    只有您了解到,Web 应用程序将实施要求特定会话标识在某些使用过程中更新的安全措施时,方可选择动态

  • 固定值:保留固定值。如果您的 Web 应用程序安全需要会话标识始终具有此值,那么为此会话标识设置一个固定值。

“探索”阶段,AppScan 自动检测可能是会话标识的 cookie 和 HTML 参数,并将其添加到列表。配置扫描时,您可手动添加认为是会话标识的 cookie 和参数。