Web 應用程式自動掃描工作流程

提供自動掃描 Web 應用程式的簡易工作流程。

AppScan 提供 Web 應用程式的綜合性評量。它會執行數千項基於一般使用者技術所有層次的測試,以及未獲授權的存取及程式碼注入。

當在您的應用程式上執行掃描時,AppScan 會將測試傳給您的 Web 應用程式。測試的結果是由 AppScan 的網站智慧引擎提供,您會得到廣泛的報告和修正建議,可供加強檢閱和操作。

AppScan 是一個互動式工具:您決定掃描的配置,判斷對結果採取的動作。

顯示簡單 Web 應用程式自動掃描工作流程的圖表。

如果使用者具備 Web 安全領域的經驗,請參閱進階使用者的工作流程

工作流程說明

  1. 掃描配置:透過配置 > Web 必要項目配置掃描,將您的網站、環境及其他需求的詳細資料列入考量:
    1. 輸入起始 URL:指定會在該處開始掃描的 URL。
    2. 錄製登入:擷取登入程序,確保已掃描驗證過的頁面。
    3. (選用)檢閱測試原則:根據您的 Web 應用程式選取測試原則。

  2. 開始完整掃描:啟動完整掃描。

  3. 自動掃描包含「探索」和「測試」兩個階段。
    1. 探索階段:AppScan 會搜索您的網站,以一般使用者的身分造訪鏈結並記錄回應。它會建立在您的應用程式中找到的 URL、目錄和檔案等等的階層。這份清單顯示在「應用程式樹狀結構」中(請參閱應用程式樹狀結構)。
      註: 「探索」階段可以自動進行、手動進行,或以兩者的組合方式進行。您也可以匯入先前記錄的手動探索序列所組成的「探索資料檔」(請參閱匯出手動探索資料)。然後,AppScan 會分析從網站收集的資料,據以建立網站的測試。這些測試設計來顯示基礎架構(如商用第三方產品或網際網路系統的安全弱點)與應用程式本身兩者的弱點。

    2. 測試階段:在「測試」階段期間,AppScan 會根據「探索」階段所收到的回應來測試您的應用程式,以顯示漏洞並評估其嚴重性。

      您可以在「掃描配置」對話框中查看您的 AppScan 現行版本中包含之所有測試的最新清單(請參閱測試原則和最佳化)。

      除了 AppScan 自動建立和執行的測試之外,您也可以建立使用者定義測試(請參閱使用者定義測試)。您的測試可以補充 AppScan 所產生的測試,且可以驗證其所找到的結果。

      測試結果顯示在「結果清單」中,供您檢視和修改它們。結果的完整資料顯示在「明細窗格」中。

  4. 掃描後活動:

    1. 檢閱結果:根據檢閱的結果,依需要來分析掃描結果並調整掃描配置,然後重新掃描。

    2. 檢閱修正建議:評估並套用建議的修正,以解決識別出的漏洞。
    3. 手動探索鏈結:手動檢查任何需要進一步調查的鏈結。
    4. 產生報告:根據掃描結果建立詳細報告。
註: AppScan 支援手動探索匯入記錄的流量,並搭配其自動掃描功能,提供全面的安全評估方法。