多因素认证 (MFA)

AppScan® 配置为在登录时使用一次性密码或安全性问题(多因素身份验证)。

一次性密码 (OTP)

如果应用程序使用 OTP,请选择两个选项中的一个,否则保留缺省设置:无。

记录登录过程时,AppScan 会从流量中抽取相关参数,并将其添加到 OTP HTTP 参数列表中。这些参数还将被添加到“自动表单填充”视图中的 OTP 条目中。如果 AppScan 未能识别这些参数,那么您必须在此视图或“自动表单填充”视图中自己添加这些参数。
限制:
  • 每个扫描仅支持一个 OTP 类型(TOTP 或 URL 生成的 OTP)。
  • 对于 TOTP,仅支持数值。
  • 配置 OTP 时,“基于操作”必须是 登录回放 中选择的登录回放方法。OTP 不适用于基于请求的登录。
要观看简短视频演示,请单击以下图标:

如何识别 OTP HTTP 参数

AppScan 需要知道包含 OTP 的参数的名称(以便能够登录到应用程序),并且通常在验证记录登录过程时识别该参数。如果其未能识别该参数,或者您使用自动登录,那么您必须手动添加该参数。

要识别参数:
  1. 打开浏览器并转到应用程序的登录页面。
  2. 单击 F12 打开浏览器的开发人员工具窗格(在主浏览器窗格的右侧或下方打开)。
  3. 单击“元素”选项卡以查看 HTML 代码。

    当您选择代码的一部分时,该元素会在主浏览器窗格中突出显示。

  4. 找到突出显示 OTP 字段的元素。
    示例:
    <input type="text" name="OTPvalue" value="">
  5. name 参数的值(不带引号)就是您需要的 OTP HTTP 参数。
    示例:
    OTPvalue
  6. 如果有多个 OTP HTTP 参数,请单击添加另一个以根据需要添加其他字段。

安全性问题

“安全性问题”是应用程序和网站用来为用户帐户添加额外安全层的常用方法。这些问题通常是个性化问题,需要用户提供只有他们自己才应该知道的具体答案。此额外步骤有助于验证用户的身份,尤其是在找回密码期间或访问敏感信息时。

如果您的应用程序在用户身份验证环节使用安全问题,务必在此处添加这些安全问题。这使 AppScan 能够在登录录制、会话中检测或登录回放过程中准确识别和捕获安全问题。

要添加安全性问题,请执行以下操作:
  1. 单击 + 添加
  2. 准确地键入应用程序中定义的问题。
  3. 准确地键入应用程序中定义的答案。
  4. (可选)定义参数。
  5. 单击应用
注: 确保包含您的应用程序使用的所有安全问题和答案。未能做到这一点可能会导致在使用 AppScan 进行扫描、录制登录和访问敏感信息时出现问题。

当您录制登录(含问题答案)或开始扫描时,AppScan 将在登录期间或成功登录后的扫描过程中识别应用程序中的安全问题。

使用此功能时,建议启用 SessionManagement:ShowActionBasedPlayerWindow 标志,以检查问题是否得到正确回答。要启用此设置,请执行以下操作:
  1. 转至工具 > 选项> 高级
  2. 找到 SessionManagement:ShowActionBasedPlayerWindow,并将其设置更改为 True
  3. 运行扫描。浏览器将在扫描过程中打开,您可以实时查看 AppScan 对网站的探索过程,包括安全问题的答案。