Web 應用程式和 Web 服務

這個主題說明在 AppScan 測試網站之前,可用來探索網站的不同方法。

掃描網站時會先探索,然後根據所收集的資料加以測試。可以使用一或多種不同的「探索」方法來收集「探索資料」。無論如何,收集「探索」資料之後,就會在「測試」階段期間使用 AppScan 來建立及傳送測試給網站。
探索 Web 應用程式(具有使用者介面的網站)
  • 如果是不含 Web 服務的應用程式(網站),通常只要提供起始 URL 及登入鑑別認證給 AppScan,就足以測試網站。
  • 手動探索:必要的話,您可以透過 AppScan 手動探索網站,以便能夠存取只有透過特定的使用者輸入才能到達的區域。
  • 多步驟作業:對於只能透過以特定順序存取頁面才能到達的頁面,您可以記錄多步驟作業供 AppScan 使用。
「配置精靈」可讓您以少數幾個步驟配置及啟動您的掃描,而針對複雜的網站,「配置」對話框可讓您細部調整及自訂更多的設定。
探索 Web 服務
有三個方法可用來完成這個操作,建議使用第一個方法。
  1. 您可以設定 AppScan 作為用來探索服務之裝置(如:行動電話或模擬器)的記錄 Proxy。如此一來,AppScan 就可以分析所收集的「探索」資料,並傳送適當的測試。您也可以使用 AppScan 來記錄使用外部工具的資料流量,例如 Web 服務功能測試程式。請參閱 使用 AppScan 作為記錄 Proxy
  2. 如果您針對 Web 服務具有 Open API 說明檔(JSON 或 YAML),您可以使用 Web 服務精靈延伸來配置掃描,以及使用服務所需的多步驟序列。之後,AppScan 會自動掃描服務。
  3. 如果您無法使用前兩個方法,且有 Web 服務(如:SOAP Web 服務)的 WSDL 檔,AppScan 安裝架構可選擇性地包括另一個工具,讓使用者可以檢視在 Web 服務中納入的各種方法、操作輸入資料,以及檢查從服務傳回的意見。您必須先將服務的 URL 提供給 AppScan。所整合的「通用服務用戶端 (GSC)」會使用 WSDL 檔,以樹狀結構格式顯示個別可用的方法,並建立對使用者友善的 GUI 來傳送要求給服務。您可以利用這個介面來輸入參數以及檢視結果。當 AppScan 掃描網站時,AppScan 會將程序「記錄」下來,用來建立服務的測試。GSC 也可以用來作為 REST 要求的用戶端,不需要剖析 WSDL 檔案,僅作為簡單的 HTTP 用戶端。請參閱 使用 GSC
外部用戶端或裝置
在上述兩種情況中,如果您需要使用外部裝置(例如行動電話)來探索網站,您可以設定 AppScan 為 Proxy 以遵循您的動作,然後根據資料來測試網站。