Welcome
配置
可通过选择能最好地描述应用程序的设置来配置扫描（您想要的测试类型）。
视图
登录管理
显示 AppScan® 如何登录到应用程序。
会话检测
配置会话检测，以便 AppScan 可以在扫描期间通过选择会话中检测请求和定义会话中（或会话外）检测模式来验证登录状态。使用高级对话框可查看录制的登录序列，设置会话中请求，选择或定义模式（支持正则表达式），以及通过重新验证和运行登录分析来进行验证或故障诊断。

欢迎
欢迎使用 HCL AppScan Standard 版本 10.10.0 文档。
入门
本部分提供有关基本产品功能和过程的简短浏览，包括使用向导设置扫描。
配置
可通过选择能最好地描述应用程序的设置来配置扫描（您想要的测试类型）。
- 预设
  预设为您提供特定类型扫描所需的主要配置视图。
- 视图
  - 起始 URL 和域
    配置扫描的起始 URL 以及要包含的任何其他服务器和域。
  - API
    要扫描 Web API，请定义您的 API 类型、探索方法并指定要测试的域。
  - 排除路径和文件
    您可以配置 AppScan 以忽略应用程序中的某些路径或文件的特定类型。
  - 多步骤操作
    记录并管理到达应用程序中可能遗漏的特定部分所需的多步骤操作。
  - 大语言模型 (LLM)
    配置 AppScan 以动态测试应用程序中的大语言模型 (LLM) 功能是否存在敏感信息泄露、提示注入、数据泄露、工具滥用和违反内容策略等风险。将聊天端点、检索增强生成 (RAG) 管道及其他 LLM 组件作为目标，然后结合 LLM 交互历史记录和补救指南审查可重现的调查结果。
  - 登录管理
    显示 AppScan® 如何登录到应用程序。
    - 登录方式
      定义 AppScan 如何登录到应用程序，并在必要时录制登录过程。AppScan 可自动检测登录请求并填充用户名和密码参数。如果您的应用程序具有不标准的登录操作序列，那么您可录制这些操作以供 AppScan 使用。
    - 登录回放
      对登录序列进行记录时，AppScan 将对操作和请求均进行记录。回放登录时，AppScan 将尝试（缺省情况下）重现基于操作的登录；如果该操作不成功，那么它将使用基于请求的登录。该区域用于复审和编辑：基于操作的登录序列版本和基于请求的登录序列版本。
    - 会话检测
      配置会话检测，以便 AppScan 可以在扫描期间通过选择会话中检测请求和定义会话中（或会话外）检测模式来验证登录状态。使用高级对话框可查看录制的登录序列，设置会话中请求，选择或定义模式（支持正则表达式），以及通过重新验证和运行登录分析来进行验证或故障诊断。
      - 高级模式选择
        使用此对话框可以比较对登录请求的会话中和会话外响应，以帮助您确定最适合应用程序的检测模式。
      - 优化会话中检测
        复审登录序列有助于对会话中检测进行故障诊断和优化。
    - 登录会话标识
      登录管理视图的登录会话标识部分用于检查和管理在已录制登录期间接收到的变量（会话标识）的跟踪。
    - 高级登录设置
      登录管理视图的高级登录设置部分用于配置高级登录设置和注销页面检测。
  - API 密钥
    AppScan Standard 支持 API 认证，以扫描需要 API 密钥的 API。
  - 多因素认证 (MFA)
    将 AppScan® 配置为在登录时使用一次性密码或安全性问题（多因素身份验证）。
  - HTTP 认证
    如果应用程序需要，请添加服务器级别认证和客户机端证书。
  - AWS 授权
    配置 AWS 设置。
  - 通信和代理
    配置通信超时和代理服务器设置。
  - 参数、Cookie 和头
    识别会话标识并列出要从扫描中排除的参数。
  - 自动表单填充
    为 AppScan® 提供用于在扫描期间填充应用程序中表单的有效参数值。
  - 错误页面
    通过添加字符串或正则表达式，以便 AppScan® 能够识别响应内容和/或路径中的错误页面，增强您应用程序的错误页面识别。这可确保 AppScan 能够有效识别和处理您的错误页面，从而提高安全性扫描的整体准确性。
  - 探索选项
    定义 AppScan 将用于探索应用程序的探索方法（基于操作和/或基于请求）以及其他基本和高级探索设置。
  - 测试策略和优化
    定义将在测试期间发送到应用程序的测试集合（测试策略），并在对您来说速度比扫描深度更重要时，有时在产品生命周期中应用优化以加快扫描速度。
  - 环境定义
    环境定义并不重要，但是可以使 AppScan® 在扫描期间以安全的方式避免发送无关测试，使得扫描更加迅速和精确。定制 CVSS 3.1 环境评分可提高扫描结果的准确性。
  - 测试选项
    其他测试选项。
  - 高级配置
    此视图可用于访问多个高级设置，仅应由有经验的 AppScan 用户或在支持团队指导下进行问题排查时使用。
  - 定制脚本
    定制脚本可以使您的 DAST 扫描更加灵活。您可以添加 JavaScript，以便在扫描过程中操纵 HTTP 请求和响应，无论是在向服务器发送请求之前还是在收到响应之后。
  - 特权升级
    比较使用不同用户特权的扫描，以发现非特权用户是否可访问特权资源。
  - 基于内容的视图
    允许您为应用程序树定义逻辑结构，适用于基于 URL 的树只是一个或两个 URL 下的长列表的情况。这并非必需，但是可使您更容易地浏览结果。
- 扫描文件结构
  解释了 AppScan Standard SCAN 文件的基本结构。
- 扫描模板
  扫描模板只是已保存的扫描配置，以便您能够再次使用。
- 在扫描期间更改配置
智能结果分析 (IFA)
智能结果分析 (IFA) 使用人工智能 (AI) 和机器学习 (ML) 来分析数据、发现模式和进行预测，最终将数据转化为切实可行的见解。IFA 通过采用先进的方法，超越了常规数据分析，能够发现更深层次的含义并做出明智的决策。
手动探索
手动探索使您能够探索应用程序的特定部分，并且随之填写字段和表单。可以通过此方法来确保覆盖了站点的特定区域，并且 AppScan 具有正确填写表单所需的信息。
扫描
了解如何启动扫描，扫描期间进行的操作；如何手动处理“探索”阶段，以及如何导出扫描结果。
数据
在扫描的“探索”阶段，“数据”视图将填充有关站点结构的信息。
问题
“问题”视图提供了对扫描结果的访问。您可以在高级别查看结果，或者选择特定测试或对象并访问更多详细信息。这些详细信息包括：如何修复、请求/响应，以及引发问题的测试变体之间的差异。您可以控制问题的严重性，重新发送测试（可修改可不修改），并基于“问题”创建报告。
报告
工具
本节说明如何使用 HCL AppScan Standard 随附的其他工具。
集成
本节描述了其他应用程序与 AppScan Standard 的集成：
最佳实践
本节包含针对高级用户的最佳做法和用例以及一些常见问题。
FAQ 和故障诊断
CLI
本部分描述了使用命令行界面时可用的语法和选项。
引用
菜单和工具栏摘要，以及词汇表

会话检测

配置会话检测，以便 AppScan 可以在扫描期间通过选择会话中检测请求和定义会话中（或会话外）检测模式来验证登录状态。使用高级对话框可查看录制的登录序列，设置会话中请求，选择或定义模式（支持正则表达式），以及通过重新验证和运行登录分析来进行验证或故障诊断。

表 1. 高级选项
设置	详细信息
登录回放	只有选定的登录方法是“记录的登录”时，才会显示此部分
登录回放方法	当使用内置浏览器进行记录时，AppScan 将保存您记录的两个登录序列版本：一个版本基于您执行的操作，另一个版本基于实际发送的 HTTP 请求。基于操作：（缺省情况下尽可能使用：）AppScan 将尝试使用基于操作的登录来登录（回放用户的单击和击键）。回放记录：打开基于操作的播放器并回放其浏览器中记录的登录序列。编辑回放：打开基于操作的编辑器以查看并编辑登录记录的详细信息。基于请求：如果第一个方法失败，则 AppScan 将使用基于请求的版本，该版本将重新发送登录记录中的原始 HTTP 请求。编辑回放：打开基于请求的编辑器以查看并编辑登录记录的详细信息。如果消息指示某个方法失败，请使用另一个方法。注：如果选择基于操作的登录，并且在扫描期间失败，AppScan 将尝试基于请求的登录。如果该方法成功，此处的设置将自动更改为“基于请求”。注：仅在使用内置浏览器时，方可进行基于操作的登录。如果使用外部浏览器或外部客户机进行记录，则仅可执行基于请求的登录。
自动登录	只有选定的登录方法是“自动登录”时，才会显示此部分
分析自动登录配置 > 分析	单击 AppScan 以执行以下操作：尝试使用您提供的凭证登录站点识别登录页面上的会话中检测模式（请参阅下面的内容）配置会话标识（请参阅登录会话标识
会话检测	在扫描期间，AppScan 必须随时知道它是登录还是退出站点，以便正确评估站点的响应。在扫描期间，AppScan 会重复发送会话中检测请求，并且检查响应是否包含“会话中检测模式”，以验证其是否仍然处于已登录状态。如果 AppScan 在页面的响应中未找到该模式，那么 AppScan 会认为其已退出，并会通过重放登录序列来尝试重新登录。由此可知，在扫描期间，登录序列通常会被播放许多次。因此，登录序列最好包含尽可能少的步骤。如果会话中页面是一个小页面，并且不包含被跟踪的参数或 Cookie，那么也会很有帮助，因为这些也可能会显著延长扫描时间。
会话中检测请求	这是 AppScan 用来验证其是否仍处于会话中的请求。此请求应该根据用户是否登录来生成不同的响应。 AppScan 尝试会识别有效的会话中请求，您可以从下拉列表中选择其中一个请求。如果没有找到请求，或者在适用时，您可以使用高级请求选择按钮来选择您自己的请求。
高级请求选择按钮	此按钮会打开一个对话框，您可以在其中查看登录序列中的请求，并选择会话中检测请求。如需了解详情，请参阅会话检测。
会话中检测模式	（仅当选中“会话中检测请求”时，此选项才会处于活动状态：）此字段显示所选会话中检测请求中的模式，该模式指示用户处于会话中（或会话外，如果选择了该选项）。下拉列表允许您从 AppScan 在“登录”记录中标识的候选项中选择检测模式，模式下方的绿色或红色消息指示当前模式是否有效。注：通常首选使用会话中模式。但是，在极少数情况下，会话中模式并不总是在会话中请求之后返回，或者定义会话很复杂，此时，您可以改为使用会话外模式。如果 AppScan 不能识别任何有效模式，或者如果您需要选择不同的模式，请使用高级模式选择按钮（该表中的下一行）。 RegExp：选中此复选框可输入正则表达式来识别模式。请参阅“选择检测模式”对话框以获取详细信息。
高级模式选择按钮	（仅当选中“会话中检测请求”时，此选项才会处于活动状态：）按下此按钮可打开选择检测模式对话框，以您记录的登录序列（基于选定的检测模式）显示对请求的会话中和会话外响应的内容。它允许您在响应的上下文中查看选择的检测模式，并定义未列在组合框中的检测模式。此对话框允许您切换所有记录的响应。在对话框的上部，您还可以看到 AppScan 发送的会话中和会话外请求。
验证
重新验证	仅当已验证当前登录序列时才处于活动状态。单击可重新验证序列和会话检测模式。
运行登录分析	仅当已有登录记录，但会话检测配置缺失或配置错误时，该功能才会启用。它允许系统使用记录的登录进行分析并尝试识别正确的配置。如果配置有效，“重新验证”链接将照常显示。此功能对于故障排除尤其有用，可让用户调整已记录的登录顺序并查找会话检测配置，而无需重新录制登录过程。

高级请求选择

“高级会话中请求选择”对话框，可从配置 > 登录管理 > 高级选项 > 会话检测 > 高级请求选择中打开。

这是“编辑基于请求的登录”对话框的一种版本，但选项更多。在此对话框中，您可以：

查看登录时发送的请求的序列。
查看会话中检测请求
注：标记为“会话中”的页面应为要突出显示的第一页。如果突出显示的是较前的“登录”页面，那么可能是会话中模式错误，或者是将错误的页面标记为“会话中”。
在浏览器中查看序列中的任何 URL。
将不同的请求设置为会话中请求，并从此新请求中选择新的会话中检测模式。
删除“会话中”URL 之前的不必要请求，以避免 AppScan 在扫描期间多次重复这些不必要的请求
查看在会话中检测请求之后发送的请求，其中包含会话中检测模式并标记为“忽略”
在序列中搜索请求
仅显示来自特定域的请求
打开“选择检测模式”对话框，以选择并非 AppScan 建议的模式

表 2. “高级会话中请求选择”设置
设置	详细信息
主列表	显示记录的登录程序的所有请求。
查找	仅显示包含您在“URL”、“请求”、“响应”或“全部”中输入的文本字符串的请求。
显示域	仅显示源自下拉列表中选定域的请求。单击 AppScan 以执行以下操作：
设置为会话中请求按钮	将选定请求设置为会话中请求，AppScan 将在扫描期间使用该请求来验证其是否仍处于登录状态。还可以通过右键单击列表中的请求来执行此操作。
高级模式选择按钮	打开选择检测模式对话框，以您记录的登录序列（基于选定检测模式）显示对请求的会话中和会话外响应的内容。它允许您在响应的上下文中查看选择的检测模式，并定义未列在组合框中的检测模式。此对话框允许您切换所有记录的响应。在对话框的上部，您还可以看到 AppScan 发送的会话中和会话外请求。还可以通过右键单击列表中的请求来执行此操作。
	显示记录登录时收到的对选定请求的响应。打开的窗口有两个选项卡：“浏览器”选项卡显示收到的响应，“请求/响应”选项卡显示请求和响应的原始数据。
	从登录序列中删除选定的请求。
检测模式	此字段显示所选会话中检测请求中的模式，该模式指示用户处于会话中（或会话外，如果选择了该选项）。下拉列表允许您从 AppScan 在“登录”记录中标识的候选项中选择检测模式，绿色或红色阴影指示模式是否有效。注：通常首选使用会话中模式。但是，在极少数情况下，会话中模式并不总是在会话中请求之后返回，或者定义会话很复杂，此时，您可以改为使用会话外模式。如果 AppScan 不能识别任何有效模式，或者如果您需要选择不同的模式，请使用高级模式选择按钮选择您自己的模式。