Web 应用程序与 Web Service

本主题说明了在 AppScan 测试站点之前可用于探索站点的不同方法。

扫描站点的过程是:首先探索站点,然后根据收集的数据来测试站点。可以通过一种或多种不同探索方法来收集“探索数据”。在所有情况下,一旦收集了探索数据,在测试阶段中个,AppScan 都将用于创建测试以及向站点发送测试。
探索 Web 应用程序(带有用户界面的站点)
  • 如果是没有 Web Service 的应用程序(站点),那么为 AppScan 提供起始 URL 和登录认证凭证通常足以使其能够测试站点。
  • 手动探索:如果需要,您可以通过 AppScan 来手动探索站点,以便能够访问仅通过特定用户输入才能访问的区域。
  • 多步骤操作:对于只有通过特定顺序访问页面才能访问的页面,您可以记录多步骤操作以供 AppScan 使用。
虽然通过使用配置向导,您可以只需几个步骤即可配置和启动扫描,但对于复杂站点,通过使用“配置对话框”,您可以微调和定制更多设置。
探索 Web Service
有三种方法可以执行此操作,建议使用第一种方法。
  1. 可以将 AppScan 设置为用于探索服务的设备(例如移动电话或模拟器)的记录代理。这样,AppScan 就可以分析所收集到的“探索”数据,并发送相应的测试。还可以使用 AppScan 记录使用外部工具(如 Web Service 功能测试仪)的流量。请参阅将 AppScan 用作记录代理
  2. 如果 Web Service 具有 Open API 描述文件(JSON 或 YAML),则可以使用 Web Service 向导扩展来配置扫描,以及使用该服务所需的多步骤序列。然后,AppScan 将自动扫描服务。
  3. 如果您无法使用前两种方法,并且具有用于 Web Service(例如 SOAP Web Service)的 WSDL 文件,那么 AppScan 安装可以有选择地包含单独的工具 ,此工具使用户能够查看已合并到该 Web Service 中的各种方法,对输入数据进行控制,以及检查来自该服务的反馈。您首先需要为 AppScan 提供服务的 URL。集成的“通用服务客户机 (GSC)”使用 WSDL 文件以树格式显示可用的单独方法,并且会创建用户友好的 GUI 来向服务发送请求。您可以使用此界面输入参数和查看结果。此过程由 AppScan 进行“记录”,并且用于在 AppScan 扫描站点时创建针对服务的测试。GSC 也可用作 REST 请求的客户机,而无需解析 WSDL 文件,作为简单的 HTTP 客户机。请参阅使用 GSC
外部客户机或设备
在上述两种情况下,如果您需要使用外部设备(如移动电话)来探索站点,则可以将 AppScan 设置为代理,以跟踪您的操作,然后基于数据测试站点。