常见问题及解答

扫描站点的过程是：首先探索站点，然后根据收集的数据来测试站点。可以通过一种或多种不同探索方法来收集“探索数据”。在所有情况下，一旦收集了探索数据，在测试阶段中个，AppScan 都将用于创建测试以及向站点发送测试。

探索 Web 应用程序（带有用户界面的站点）

• 对许多应用程序而言，为 AppScan 提供起始 URL 和认证凭证就足以使其能够测试站点。
• 手动探索：如果需要，您可以通过 AppScan 来手动探索站点，以便能够访问仅通过特定用户输入才能访问的区域。
• 多步骤操作：对于只能通过首先按特定顺序访问其他页面才能访问的页面，您可以记录多步骤操作以供 AppScan 使用。

虽然通过使用配置向导，您可以只需几个步骤即可配置和启动扫描，但对于复杂站点，通过使用“配置对话框”，您可以微调和定制更多设置。

探索 Web API

AppScan 为探索 Web API 提供了以下三种主要方法：

1. 导入 Postman 集合

   如果您已在 DevOps 流程中预先记录了 API 请求的 Postman 集合，则可以导入该集合以用作扫描的探索阶段。AppScan 会分析并使用集合来测试站点。请参阅 使用 Postman 集合扫描

2. 使用 OpenAPI 规范文件
   • 如果您有适用于 Web 服务的 OpenAPI 规范文件（JSON 或 YAML 格式），则可以使用此描述文件作为扫描的基础。AppScan 将根据描述启动自动扫描。请参阅使用 OpenAPI 规范文件扫描。
3. 记录代理设置
   1. 设备设置：将 AppScan 配置为用于探索服务的设备（例如移动电话或模拟器）的记录代理。AppScan 随后会分析收集的探索数据并发送相应的测试。
   2. 外部工具记录：您还可以使用 AppScan 记录使用外部工具（如 Web API 功能测试程序）的流量。请参阅使用外部客户机。

除了上面列出的方法外，您还可以选择手动探索或导入探索数据。无论在哪种情况下，一旦您随探索数据一起提供 AppScan ，它就可以继续自动测试站点并显示扫描结果供复审和分类。

手动探索

进行手动探索时，您探索站点以收集 AppScan 可使用的数据，从而确保当它测试站点时，将覆盖可能已在其自动“探索”阶段遗漏的应用程序或服务部分。此遗漏可能是因为需要特定用户输入，或者因为站点仅对其他类型的工具或设备做出响应。您可以使用 AppScan 进行手动探索，也可以将其用作记录代理。

请参阅 手动探索

多步骤操作

需要执行一个多步骤操作来探索站点中只有通过按特定顺序单击才能访问的部分（比如，在线商店，用户需首先将商品添加到购物车才能付款）。请考虑以下三个页面：

1. 用户将一个或多个商品添加到购物车
2. 用户填写付款和送货详细信息
3. 用户收到订单完成的确认

只有通过第 1 页才能到达第 2 页。只有通过第 1 页然后是第 2 页才能到达第 3 页。这是一个序列。为能够测试第 2 页和第 3 页，AppScan® 必须在进行各测试之前发送正确的 HTTP 请求序列。

请参阅 多步骤操作

当记录了某个过程以用作登录或多步骤操作时，可以采用两种可能的回放方法：

基于请求的回放

从记录发送原始 HTTP 请求。这种方法通常更快。

基于操作的回放

重放用户的单击和击键。选择此方法的原因可能是站点包含大量 JavaScript，或者是因为在您尝试验证基于请求的回放中的某些请求时，这些请求被标记为红色 X。此方法可能会增加扫描时间。

在版本 10.0.5 中，我们宣布我们打算在将来的版本中删除三个测试策略。以下方法可用于实现类似的结果。如果您使用这些策略，那么不妨开始使用建议的替代策略。

如果扫描文件很大，并且由于任何原因需要减小文件大小，那么可以使用 compact_scan 命令来减小扫描文件中数据库的大小。在命令提示符下输入以下命令：

AppScanCmd.exe compact_scan /b <full path to base scan file> /d <full path to destination file>

• 使用 API 基本配置预设（请参阅配置预设）。
• 装入 GraphQL 模板（从预定义模板文件夹中）并导入您自己的 Postman 集合。
• 装入 GraphQL 模板（从预定义模板文件夹中）并导入您自己的流量文件。