欢迎
欢迎使用 HCL AppScan Standard 版本 10.0.2 文档。
本部分提供有关基本产品功能和过程的简短浏览,包括使用向导设置扫描。
新增内容
本部分介绍此版本中的新产品功能和增强功能,以及相关弃用和预期变更。
系统需求
运行 的机器AppScan Standard所需的最低硬件和软件的摘要。
安装
安装向导用于指导您完成这一快速而简单的过程。
许可证
本部分介绍 AppScan Standard 的试用版和付费版。
自动扫描如何运作
本主题说明扫描的“阶段”和“过程”之间的区别。
Web 应用程序与 Web Service
本主题说明了在 AppScan 测试站点之前可用于探索站点的不同方法。
基本工作流程
此图显示了使用扫描配置向导的简单 AppScan 工作流程。
主窗口指南
描述 AppScan 主窗口的组件以及所有菜单和工具栏。
“欢迎”屏幕
描述装入 AppScan 时打开的欢迎屏幕中可用的选项。
教程
这一简单教程涉及以下步骤:使用“扫描配置”向导配置简单的应用程序扫描、运行扫描和复审扫描结果。
样本扫描
样本扫描可帮助您感受 AppScan 的用法以及扫描结果的内容。
可通过选择能最好地描述应用程序的设置来配置扫描(您想要的测试类型)。
本部分说明在开始扫描的“测试”阶段之前,或者开始自动扫描(包含自动“探索”和“测试”这两个阶段)之前可手动探索应用程序或服务的方式。
使用 AppScan
手动探索使您能够探索应用程序的特定部分,并且随之填写字段和表单。可以通过此方法来确保覆盖了站点的特定区域,并且 AppScan 具有正确填写表单所需的信息。
将 AppScan 用作记录代理
您可以将 AppScan 的“外部流量记录器”用作记录代理,并使用移动电话、模拟器或仿真器来手动探索 RESTful 或其他非 SOAP Web Service,或者不需要安全包络的 SOAP 服务。AppScan 在其“外部流量记录器”中显示域和请求,并使用输入来创建相应的测试。
使用 GSC
通用服务客户机 (GSC) 使用 Web Service 的 WSDL 文件来显示简单界面(其中显示可用服务),并使您能够输入参数和查看结果。使用 GSC 界面可手动探索 Web Service,以便 AppScan 能够使用您的输入来创建相应的测试。
了解如何启动扫描,扫描期间进行的操作;如何手动处理“探索”阶段,以及如何导出扫描结果。
AppScan 在三个视图中显示扫描结果:
应用程序数据
AppScan 提供三种查看和使用扫描结果的方法:应用程序数据、安全问题和修复任务。本部分描述“应用程序数据视图”。
安全问题
AppScan 提供三种查看和使用扫描结果的方法:安全问题、修复任务和应用程序数据。本部分是讨论“安全问题视图”。
修复任务
AppScan 提供三种查看和使用扫描结果的方法:安全问题、修复任务和应用程序数据。本部分是讨论“修复任务”视图。
本节描述如何通过扫描结果生成报告。
安全报告
“安全报告”会提供所发现的关于安全问题的信息,而且您可以根据所需的内容类型从各种模板中进行选择。
行业标准和一致性报告
“行业标准”报告让您知道您的应用程序是否与所选定的行业委员会标准一致;“合规一致性”报告会让您知道您的应用程序是否与特定规定或法律标准一致。
增量分析报告
“增量分析”报告会比较两组扫描结果,并会显示在这两组结果中发现的 URL 和/或安全问题差异。
基于模板的报告
“创建报告”对话框的“基于模板”选项卡使您可以创建 Microsoft® Word DOC 和 DOCX 格式的报告,并且严格采用您想要的数据和由您定义的文档格式。
本节说明如何使用 HCL AppScan Standard 随附的其他工具。
“选项”对话框
本部分描述了您能够控制的选项,以从选项对话框(工具 > 选项)定制 AppScan。
Web Service 向导扩展
此扩展允许您使用 Open API 描述文件进行扫描。可通过工具 > 扩展 > Web Service 向导 (Open API) 使用,缺省情况下已启动扩展。
PowerTool
AppScan 提供对五个实用程序 (PowerTool) 的访问权,每个实用程序均提供特定功能来帮助您管理应用程序安全,或帮助您使用 AppScan。
通用服务客户机 (GSC)
“通用服务客户机”(GSC) 提供一个简单的界面,用于显示可用的服务,并让您输入参数以及查看结果。使用它可手动探索 SOAP Web Service,以便 AppScan 能够使用您的输入来创建相应的测试。
日志
日志可帮助您进行故障诊断。
搜索结果
您可以对任何视图中的“结果列表”进行过滤以得到特定数据。
本节描述了其他应用程序与 AppScan Standard 的集成:
AppScan Enterprise
本节描述 AppScan Standard 和 Enterprise 这两个版本的交互方式。
AppScan on Cloud
本节描述了 AppScan Standard 与 HCL AppScan on Cloud 交互(以扫描云中的应用)时可以采取的方法。
自动化框架
可使用为 QA 自动化框架(例如 Selenium)编写的脚本来创建 AppScan 扫描的“手动探索”记录。
本节包含针对高级用户的最佳做法和用例以及一些常见问题。
高级用户的工作流程
对于具有 Web 安全性经验的用户,此工作流程可帮助他们执行更为彻底的扫描。
使用基于参数的导航的站点
使用单个 URL 访问其中所有页面的站点需要特定扫描配置。
扫描实时生产环境
通过 AppScan 扫描实时站点之前应考虑以下风险和建议。
了解测试优化
本部分介绍测试优化的工作原理,以及如何最好地将其纳入开发生命周期。
常见问题及解答
此主题处理常规应用程序问题。
导入旧扫描模板
如何从低于 8.6 的 AppScan 版本中保存的扫描导入扫描模板。
扩展支持方式
扩展支持方式记录所有 AppScan 活动,以供打包并发送给支持提供商,从而帮助您对有问题的过程进行故障诊断。
更改缺省浏览器
您可以将 AppScan 配置为使用其内置浏览器之外的浏览器。
登录故障诊断
关于对“扫描配置 > 登录管理”视图中的会话监测问题进行故障诊断的提示。
长期或无休止"探索"阶段
对于某些类型的站点,“探索”阶段可能需要较长时间或不会结束。
多步骤操作故障诊断
用于对基于操作的多步骤操作进行故障诊断的某些建议。
替换未签名的扩展
如果要使用与 AppScan 的先前版本配合使用的未签名的扩展,那么可以选择信任该扩展,或者查看是否提供已签名的扩展来将其替换。
扫描日志消息
以下各部分包含扫描日志消息(查看 > 扫描日志)的说明。
AppScan® 日志消息
下列部分包含 AppScan® 日志消息的说明。(帮助 > AppScan 日志)
本部分描述了使用命令行界面时可用的语法和选项。
菜单和工具栏摘要,以及术语表
浏览器工具栏
嵌入式 AppScan® 浏览器工具栏上的图标可用于显示和保存应用程序响应的屏幕快照。
文件菜单
用于创建、打开和保存扫描。
编辑菜单
用于定制扫描结果。
“视图”菜单
用于确定主窗口的显示方式以及要显示哪些数据。
扫描菜单
用于控制扫描。
“工具”菜单
提供各种报告和定制工具,包括 HCL PowerTool。
帮助菜单
用于访问文档、获取支持帮助和获取新许可证。
辅助功能选项控件
描述所有键盘快捷键和控件。
临时文件
描述正常操作期间 AppScan® 将其临时文件保存到的位置以及如何更改此位置。
CWE 支持
CWE(常见缺陷枚举)是一个行业标准列表,其中列出了众所周知的常见软件缺陷。当前版本的 AppScan Standard 中支持以下 CWE 标识及其父标识或子标识。
术语表
本术语表说明在 AppScan® Standard 用户界面和文档中使用的术语和首字母缩略词。