跳转到主要内容
HCL Logo Product Documentation
Customer Support Community
Customer Support HCLSoftware U Community Forums Customer Idea Portal
AppScan Standard 帮助
  1. Home icon
  2. Welcome
  3. 配置

    可通过选择能最好地描述应用程序的设置来配置扫描(您想要的测试类型)。

  4. 视图
  5. 排除路径和文件

    您可以配置 AppScan 以忽略应用程序中的某些路径或文件的特定类型。

  6. 排除路径

    从扫描中排除应用程序中的某些路径。

  7. 编辑排除或包含
Product logo

  • 欢迎

    欢迎使用 HCL AppScan Standard 版本 10.10.0 文档。

  • 入门

    本部分提供有关基本产品功能和过程的简短浏览,包括使用向导设置扫描。

  • 配置

    可通过选择能最好地描述应用程序的设置来配置扫描(您想要的测试类型)。

    • 预设

      预设为您提供特定类型扫描所需的主要配置视图。

    • 视图
      • 起始 URL 和域

        配置扫描的起始 URL 以及要包含的任何其他服务器和域。

      • API

        要扫描 Web API,请定义您的 API 类型、探索方法并指定要测试的域。

      • 排除路径和文件

        您可以配置 AppScan 以忽略应用程序中的某些路径或文件的特定类型。

        • 排除路径

          从扫描中排除应用程序中的某些路径。

          • 添加新的排除或例外
          • 编辑排除或包含
        • 将扫描限制在特定文件夹

          使用排除和例外来限制扫描的范围。

        • 排除文件

          从扫描范围中排除某些类型的文件。

      • 多步骤操作

        记录并管理到达应用程序中可能遗漏的特定部分所需的多步骤操作。

      • 大语言模型 (LLM)

        配置 AppScan 以动态测试应用程序中的大语言模型 (LLM) 功能是否存在敏感信息泄露、提示注入、数据泄露、工具滥用和违反内容策略等风险。将聊天端点、检索增强生成 (RAG) 管道及其他 LLM 组件作为目标,然后结合 LLM 交互历史记录和补救指南审查可重现的调查结果。

      • 登录管理

        显示 AppScan® 如何登录到应用程序。

      • API 密钥

        AppScan Standard 支持 API 认证,以扫描需要 API 密钥的 API。

      • 多因素认证 (MFA)

        将 AppScan® 配置为在登录时使用一次性密码或安全性问题(多因素身份验证)。

      • HTTP 认证

        如果应用程序需要,请添加服务器级别认证和客户机端证书。

      • AWS 授权

        配置 AWS 设置。

      • 通信和代理

        配置通信超时和代理服务器设置。

      • 参数、Cookie 和头

        识别会话标识并列出要从扫描中排除的参数。

      • 自动表单填充

        为 AppScan® 提供用于在扫描期间填充应用程序中表单的有效参数值。

      • 错误页面

        通过添加字符串或正则表达式,以便 AppScan® 能够识别响应内容和/或路径中的错误页面,增强您应用程序的错误页面识别。这可确保 AppScan 能够有效识别和处理您的错误页面,从而提高安全性扫描的整体准确性。

      • 探索选项

        定义 AppScan 将用于探索应用程序的探索方法(基于操作和/或基于请求)以及其他基本和高级探索设置。

      • 测试策略和优化

        定义将在测试期间发送到应用程序的测试集合(测试策略),并在对您来说速度比扫描深度更重要时,有时在产品生命周期中应用优化以加快扫描速度。

      • 环境定义

        环境定义并不重要,但是可以使 AppScan® 在扫描期间以安全的方式避免发送无关测试,使得扫描更加迅速和精确。定制 CVSS 3.1 环境评分可提高扫描结果的准确性。

      • 测试选项

        其他测试选项。

      • 高级配置

        此视图可用于访问多个高级设置,仅应由有经验的 AppScan 用户或在支持团队指导下进行问题排查时使用。

      • 定制脚本

        定制脚本可以使您的 DAST 扫描更加灵活。您可以添加 JavaScript,以便在扫描过程中操纵 HTTP 请求和响应,无论是在向服务器发送请求之前还是在收到响应之后。

      • 特权升级

        比较使用不同用户特权的扫描,以发现非特权用户是否可访问特权资源。

      • 基于内容的视图

        允许您为应用程序树定义逻辑结构,适用于基于 URL 的树只是一个或两个 URL 下的长列表的情况。这并非必需,但是可使您更容易地浏览结果。

    • 扫描文件结构

      解释了 AppScan Standard SCAN 文件的基本结构。

    • 扫描模板

      扫描模板只是已保存的扫描配置,以便您能够再次使用。

    • 在扫描期间更改配置
  • 智能结果分析 (IFA)

    智能结果分析 (IFA) 使用人工智能 (AI) 和机器学习 (ML) 来分析数据、发现模式和进行预测,最终将数据转化为切实可行的见解。IFA 通过采用先进的方法,超越了常规数据分析,能够发现更深层次的含义并做出明智的决策。

  • 手动探索

    手动探索使您能够探索应用程序的特定部分,并且随之填写字段和表单。可以通过此方法来确保覆盖了站点的特定区域,并且 AppScan 具有正确填写表单所需的信息。

  • 扫描

    了解如何启动扫描,扫描期间进行的操作;如何手动处理“探索”阶段,以及如何导出扫描结果。

  • 数据

    在扫描的“探索”阶段,“数据”视图将填充有关站点结构的信息。

  • 问题

    “问题”视图提供了对扫描结果的访问。您可以在高级别查看结果,或者选择特定测试或对象并访问更多详细信息。这些详细信息包括:如何修复、请求/响应,以及引发问题的测试变体之间的差异。您可以控制问题的严重性,重新发送测试(可修改可不修改),并基于“问题”创建报告。

  • 报告
  • 工具

    本节说明如何使用 HCL AppScan Standard 随附的其他工具。

  • 集成

    本节描述了其他应用程序与 AppScan Standard 的集成:

  • 最佳实践

    本节包含针对高级用户的最佳做法和用例以及一些常见问题。

  • FAQ 和故障诊断
  • CLI

    本部分描述了使用命令行界面时可用的语法和选项。

  • 引用

    菜单和工具栏摘要,以及词汇表

 Feedback

编辑排除或包含

过程

  1. 选择排除或包含路径列表中的一个项。
  2. 单击编辑。

    此时会显示编辑排除或包含对话框,其中显示已选定项的属性。

  3. 按照需要更改,然后单击确定。

下一步做什么

另请参阅: 将扫描限制在特定文件夹

将扫描限制在起始 URL 文件夹

  • Share: Email
  • Twitter
  • Disclaimer
  • Privacy
  • Terms of use
  • Cookie Preferences