Welcome
配置
可通过选择能最好地描述应用程序的设置来配置扫描（您想要的测试类型）。
视图
API
要扫描 Web API，请定义您的 API 类型、探索方法并指定要测试的域。

欢迎
欢迎使用 HCL AppScan Standard 版本 10.10.0 文档。
入门
本部分提供有关基本产品功能和过程的简短浏览，包括使用向导设置扫描。
配置
可通过选择能最好地描述应用程序的设置来配置扫描（您想要的测试类型）。
- 预设
  预设为您提供特定类型扫描所需的主要配置视图。
- 视图
  - 起始 URL 和域
    配置扫描的起始 URL 以及要包含的任何其他服务器和域。
  - API
    要扫描 Web API，请定义您的 API 类型、探索方法并指定要测试的域。
    - 使用 OpenAPI 规范文件扫描
      您可以使用 OpenAPI 规范文件自动扫描 OpenAPI，这允许您更新参数并包括所有端点，从而提供更好的覆盖范围。这可确保更全面、更准确的扫描。
    - 使用 Postman 集合扫描
      如果您有针对 Web API 的请求的 Postman 集合，则可以将其导入并用作扫描的基础。
  - 排除路径和文件
    您可以配置 AppScan 以忽略应用程序中的某些路径或文件的特定类型。
  - 多步骤操作
    记录并管理到达应用程序中可能遗漏的特定部分所需的多步骤操作。
  - 大语言模型 (LLM)
    配置 AppScan 以动态测试应用程序中的大语言模型 (LLM) 功能是否存在敏感信息泄露、提示注入、数据泄露、工具滥用和违反内容策略等风险。将聊天端点、检索增强生成 (RAG) 管道及其他 LLM 组件作为目标，然后结合 LLM 交互历史记录和补救指南审查可重现的调查结果。
  - 登录管理
    显示 AppScan® 如何登录到应用程序。
  - API 密钥
    AppScan Standard 支持 API 认证，以扫描需要 API 密钥的 API。
  - 多因素认证 (MFA)
    将 AppScan® 配置为在登录时使用一次性密码或安全性问题（多因素身份验证）。
  - HTTP 认证
    如果应用程序需要，请添加服务器级别认证和客户机端证书。
  - AWS 授权
    配置 AWS 设置。
  - 通信和代理
    配置通信超时和代理服务器设置。
  - 参数、Cookie 和头
    识别会话标识并列出要从扫描中排除的参数。
  - 自动表单填充
    为 AppScan® 提供用于在扫描期间填充应用程序中表单的有效参数值。
  - 错误页面
    通过添加字符串或正则表达式，以便 AppScan® 能够识别响应内容和/或路径中的错误页面，增强您应用程序的错误页面识别。这可确保 AppScan 能够有效识别和处理您的错误页面，从而提高安全性扫描的整体准确性。
  - 探索选项
    定义 AppScan 将用于探索应用程序的探索方法（基于操作和/或基于请求）以及其他基本和高级探索设置。
  - 测试策略和优化
    定义将在测试期间发送到应用程序的测试集合（测试策略），并在对您来说速度比扫描深度更重要时，有时在产品生命周期中应用优化以加快扫描速度。
  - 环境定义
    环境定义并不重要，但是可以使 AppScan® 在扫描期间以安全的方式避免发送无关测试，使得扫描更加迅速和精确。定制 CVSS 3.1 环境评分可提高扫描结果的准确性。
  - 测试选项
    其他测试选项。
  - 高级配置
    此视图可用于访问多个高级设置，仅应由有经验的 AppScan 用户或在支持团队指导下进行问题排查时使用。
  - 定制脚本
    定制脚本可以使您的 DAST 扫描更加灵活。您可以添加 JavaScript，以便在扫描过程中操纵 HTTP 请求和响应，无论是在向服务器发送请求之前还是在收到响应之后。
  - 特权升级
    比较使用不同用户特权的扫描，以发现非特权用户是否可访问特权资源。
  - 基于内容的视图
    允许您为应用程序树定义逻辑结构，适用于基于 URL 的树只是一个或两个 URL 下的长列表的情况。这并非必需，但是可使您更容易地浏览结果。
- 扫描文件结构
  解释了 AppScan Standard SCAN 文件的基本结构。
- 扫描模板
  扫描模板只是已保存的扫描配置，以便您能够再次使用。
- 在扫描期间更改配置
智能结果分析 (IFA)
智能结果分析 (IFA) 使用人工智能 (AI) 和机器学习 (ML) 来分析数据、发现模式和进行预测，最终将数据转化为切实可行的见解。IFA 通过采用先进的方法，超越了常规数据分析，能够发现更深层次的含义并做出明智的决策。
手动探索
手动探索使您能够探索应用程序的特定部分，并且随之填写字段和表单。可以通过此方法来确保覆盖了站点的特定区域，并且 AppScan 具有正确填写表单所需的信息。
扫描
了解如何启动扫描，扫描期间进行的操作；如何手动处理“探索”阶段，以及如何导出扫描结果。
数据
在扫描的“探索”阶段，“数据”视图将填充有关站点结构的信息。
问题
“问题”视图提供了对扫描结果的访问。您可以在高级别查看结果，或者选择特定测试或对象并访问更多详细信息。这些详细信息包括：如何修复、请求/响应，以及引发问题的测试变体之间的差异。您可以控制问题的严重性，重新发送测试（可修改可不修改），并基于“问题”创建报告。
报告
工具
本节说明如何使用 HCL AppScan Standard 随附的其他工具。
集成
本节描述了其他应用程序与 AppScan Standard 的集成：
最佳实践
本节包含针对高级用户的最佳做法和用例以及一些常见问题。
FAQ 和故障诊断
CLI
本部分描述了使用命令行界面时可用的语法和选项。
引用
菜单和工具栏摘要，以及词汇表

API

要扫描 Web API，请定义您的 API 类型、探索方法并指定要测试的域。


设置	详细信息
API 类型	从以下选项中选择要扫描的 API 类型： OpenAPI 规范文件 Postman 集合有关详细信息，请参阅下列主题：使用 OpenAPI 规范文件扫描使用 Postman 集合扫描
其他参数	添加 OpenAPI 规范文件时，AppScan 将分析并显示此表中的 HTTP 参数。AppScan 在探索过程中会自动检测参数的值，但在扫描过程中无法自动检测值的情况下，您可以手动更新参数以提高性能。如果规范文件包含认证，请使用以下一种方法对其进行配置：配置 API 密钥配置基本认证 (HTTP) 通过 Postman 记录登录
要测试的域	如果您使用的是 Postman 集合，请输入要包含在扫描中的域。如果您使用的是规范文件，则会自动列出您基本 URL 的域。如果 API 包含指向“基本 URL”域之外的域的链接，那么您必须添加这些链接，以便能够将它们包含在扫描中。有关更多信息，请参阅要测试的域。
注：当您配置了任何其他设置（例如，登录或测试策略和优化）时，您可以运行全面扫描或仅探索。