Welcome
配置
您可以選擇最佳描述您的應用程式的設定以及所需的測試類型，來配置掃描。
視圖
登入管理
顯示 AppScan® 如何登入您的應用程式。
進階登入設定
登入管理檢視中的進階登入設定區段用於配置進階登入設定與登出頁面偵測。

歡迎使用
歡迎使用 HCL AppScan Standard 版本 10.10.0 的說明文件
入門
這一節提供基本產品特性和程序的簡短瀏覽，包括使用精靈來設定掃描。
配置
您可以選擇最佳描述您的應用程式的設定以及所需的測試類型，來配置掃描。
- 預設
  「預設」提供特定掃描類型所需的主要配置視圖。
- 視圖
  - 起始 URL 和網域
    配置掃描的「起始 URL」，以及要併入的任何其他伺服器和網域。
  - API
    若要掃描 Web API，請定義您的 API 類型、探索方法，並指定要測試的網域。
  - 排除的路徑和檔案
    您可以配置 AppScan 來忽略應用程式中的特定路徑，或忽略特定類型的檔案。
  - 多步驟作業
    記錄和管理要到達應用程式特定部分所需的多步驟作業，而這些部分可能遺漏。
  - 大型語言模型 (LLM)
    配置 AppScan 來動態測試應用程式中的大型語言模型 (LLM) 功能，偵測潛在風險，例如機密資訊揭露、提示注入、資料外洩、工具濫用以及內容原則違規。鎖定會話端點、檢索增強生成 (RAG) 管道及其他 LLM 元件進行測試，接著透過 LLM 互動歷程與修正指引檢閱可重現的結果。
  - 登入管理
    顯示 AppScan® 如何登入您的應用程式。
    - 登入方法
      定義 AppScan 登入您應用程式的方式，必要的話，請記錄登入程序。AppScan 可以自動偵測登入要求，並填寫使用者名稱和密碼參數。如果應用程式的登入序列動作不標準，您可以將這些動作記錄下來，供 AppScan 使用。
    - 登入播放
      當您記錄登入序列時，AppScan 會記錄動作和要求。在重播登入時，AppScan 會嘗試（依預設）重新執行動作型登入；如果不成功，則會使用要求型登入。這個區域可用來檢閱及編輯：登入序列的動作型版本與要求型版本。
    - 階段作業偵測
      配置階段作業偵測，讓 AppScan 能在掃描期間驗證登入狀態。請選取「階段作業內偵測要求」，並定義階段作業內（或階段作業外）的偵測型樣。可使用進階對話框檢視已錄製的登入序列、設定階段作業內要求、選擇或定義型樣（支援正規表示式），並可透過「重新驗證」與「執行登入分析」進行驗證或疑難排解。
    - 登入階段作業 ID
      對於記錄的登入期間所收到的變數（階段作業 ID），登入管理視圖的登入階段作業 ID 區段可用來檢閱和管理這些變數的追蹤。
    - 進階登入設定
      登入管理檢視中的進階登入設定區段用於配置進階登入設定與登出頁面偵測。
  - API 金鑰
    AppScan Standard 支援 API 鑑別以掃描需要 API 金鑰的 API。
  - 多因子鑑別 (MFA)
    配置 AppScan® 以在登入時使用一次性密碼或安全性問題（多重因素驗證）。
  - HTTP 鑑別
    視應用程式需要，新增伺服器層級的鑑別和用戶端憑證。
  - AWS 授權
    配置 AWS 設定。
  - 通訊與 Proxy
    設定通訊逾時及 Proxy 伺服器設定。
  - 參數、Cookie 和標頭
    識別階段作業 ID，並列出要從掃描中排除的參數。
  - 自動表單填入
    請將有效的參數值提供給 AppScan®，以便在掃描期間填入應用程式中的表單。
  - 錯誤頁面
    透過新增字串或正規表示式來強化應用程式的錯誤頁面識別，使 AppScan® 能夠辨識回應內容、路徑或兩者的錯誤頁面。如此可確保 AppScan 能夠有效辨識和處理錯誤頁面，從而提高安全掃描的整體準確性。
  - 探索選項
    定義 AppScan 將用來探索應用程式的探索方法（動作型、要求型或兩者），以及其他基本和進階探索設定。
  - 測試原則和最佳化
    定義將在測試期間傳送至應用程式的測試集合（測試原則），在速度對您而言比掃描深度更為重要時，在產品生命週期中偶爾套用最佳化以進行更快速的掃描。
  - 環境定義
    環境定義並非必要，不過，在掃描期間，它可讓 AppScan® 安全地免於傳送無關的測試，使掃描更快、更準確。自訂 CVSS 3.1 環境評分將會改善掃描結果的精確度。
  - 測試選項
    其他測試選項。
  - 進階配置
    此視圖可讓您存取許多進階設定，且只應由有經驗的 AppScan 使用者使用，或在支援團隊指示您時用以進行疑難排解。
  - 自訂 Script
    自訂 Script 可讓您進行更動態化的 DAST 掃描。您可以在掃描期間新增 JavaScript，以在要求送出至伺服器之前或收到回應之後操作 HTTP 要求與回應。
  - 專用權升級
    比較使用不同使用者專用權的掃描，以探索非特許使用者是否可以存取特許資源。
  - 內容型視圖
    可讓您定義應用程式樹狀結構的邏輯結構，以防 URL 型樹狀結構只是一或兩個 URL 下的長清單。這不是要點，但可讓結果更容易導覽。
- 掃描檔案結構
  說明 AppScan Standard SCAN 檔案的基本結構。
- 掃描範本
  掃描範本只是已儲存而可重複使用的掃描配置。
- 在掃描期間變更配置
智慧型發現項目分析 (IFA)
智慧型發現項目分析 (IFA) 運用人工智慧 (AI) 和機器學習 (ML) 分析資料、找出模式並進行預測，最終將資料轉換為可據以實行的洞察資訊。IFA 透過先進的方法來尋找更深入的涵義並做出明智的決策，進而超越一般資料分析。
手動探索
手動探索可讓您探索應用程式的特定部分，並且在探索時填寫欄位與表單。這個方式可以確定涵蓋網站的特定區域，且 AppScan 具有正確完成表單所需的資訊。
正在掃描
瞭解如何啟動掃描，以及掃描期間發生何種情況；如何手動操作「探索」階段，以及如何匯出掃描結果。
資料
在掃描的「探索」階段，資料視圖中會填入網站結構的相關資訊。
問題
「問題」視圖可讓您存取掃描結果。您可以檢視高階結果，也可以選取特定的測試或物件，存取更多詳細資料。這些詳細資料包括如何修正、要求/回應，以及問題產生的測試變式之間的差異。您可以操作問題的嚴重性、重新傳送測試（已修改或未修改），然後根據問題來建立報告。
報告
工具
本節說明如何使用 HCL AppScan Standard 所提供的其他工具。
整合
本節說明 AppScan Standard 與其他應用程式的整合：
最佳作法
本節包含部分適用於進階使用者的最佳實務及使用案例。
常見問題和疑難排解
CLI
本節說明透過指令行介面所能使用的語法和選項。
參照
功能表和工具列摘要，以及名詞解釋

進階登入設定

登入管理檢視中的進階登入設定區段用於配置進階登入設定與登出頁面偵測。

掃描配置 > 登入管理 > 進階選項 > 進階登入設定。


設定	詳細資料
進階登入設定	登入前一律先登出：在 AppScan 執行登入序列前登出任何現有階段作業，確保掃描從乾淨的登出狀態開始。請在應用程式維持連續階段作業或 SSO 時使用此設定，以避免重複使用過期的憑證並提升鑑別準確性。限制登入嘗試以避免遭到鎖定：若您的應用程式在多次登入失敗後會鎖定使用者，請勾選此勾選框並設定允許的嘗試次數。AppScan 會在失敗的登入要求之間傳送有效的登入要求，以確保絕不會到達到此臨界值，否則會無法進一步掃描。
登出頁面偵測	AppScan® 利用正規表示式來識別登出頁面。這項設定會避免登出太過頻繁而必須重新登入，有助於提高掃描效率。如果您將掃描配置成不測試登入/登出頁面（請參閱測試選項），以及在部分安全測試中必要時登出，這項設定也可用來識別登出頁面。這是預設的正規表示式： `(logout\|signout\|logoff\|signoff\|exit\|quit\|invalidate)` 如果 URL 中出現這個正規表示式中的任何指示器，AppScan® 會假設頁面是登出頁面，因此，目前已登入應用程式。註：當您記錄「登入」程序時，如果 AppScan 識別到其他指示器，可能會新增至這個表示式。您可以視需要新增其他指示器，但是請務必遵循正規表示式語法規則。註：在驗證正規表示式的語法時，表示式測試 PowerTool（工具 > PowerTool > 表示式測試）會很有用。如果您需要其他協助，下列鏈結可能會有幫助：http://www.regular-expressions.info/quickstart.html