序列验证
作为多步骤操作测试的一部分,AppScan 会分别测试序列中的每个步骤。例如,当测试 5 步序列时,它将分别测试步骤 1、2、3、4 和 5。
(例如)在测试步骤 3 时,它将先播放步骤 1 和 2,以便以正确的状态到达步骤 3,然后对其进行测试。
有时,步骤 3 的成功攻击可能直到序列中的后续步骤(比如步骤 5)才在站点响应中显示出来。例如,恶意用户可能在步骤 3 中输入有效内容,只有当站点响应步骤 5 中的完整序列后才会返回该有效内容。
对于此类情况,您可以配置 AppScan,以便在测试步骤 3 时也可以验证对步骤 4 和 5 的响应。
此验证针对特定类型的问题,如跨站点脚本编制、SQL 注入、命令注入和路径遍历。可以在扫描配置 > 高级配置 > 测试:多步骤操作:验证限制中配置(在测试步骤之后)验证的其他步骤的数量: