歡迎使用
歡迎使用 HCL AppScan Standard 版本 10.10.0 的說明文件
入門
這一節提供基本產品特性和程序的簡短瀏覽,包括使用精靈來設定掃描。
新增功能
本節說明各近期版本中的最新功能、改良項目、修正內容、即將推出的重要變更,以及淘汰項目 AppScan Standard。隨時掌握最新進展,有助於維持強大安全防護狀態。
系統需求
機器執行AppScan Standard的最低軟硬體需求摘要。
正在安裝
安裝精靈會引導您完成快速簡單的程序。
HCL 授權
HCL 可透過 My HCLSoftware (MHS) 入口網站管理軟體下載與授權。
自動掃描的運作方式
本主題說明掃描的「階段」和「回合」之間的差異。
Web 應用程式和 API 的探索方法
這個主題說明在 AppScan 測試網站之前,可用來探索網站的不同方法。
Web 應用程式自動掃描工作流程
提供自動掃描 Web 應用程式的簡易工作流程。
Web API 自動掃描工作流程
提供自動掃描 Web API 的簡易工作流程。
首頁畫面
說明您載入 AppScan Standard 時所開啟的主畫面可用的選項。
導覽主畫面
說明 AppScan 主畫面(議題檢視)的元件,以及所有功能表和工具列。
指導教學
這個簡易指導教學所進行的步驟,包括利用「掃描配置」精靈來配置簡易應用程式掃描、執行掃描,以及檢閱結果。
範例檔
範例檔可以協助您體驗 AppScan 的用法及可能的掃描結果。
配置
您可以選擇最佳描述您的應用程式的設定以及所需的測試類型,來配置掃描。
智慧型發現項目分析 (IFA)
智慧型發現項目分析 (IFA) 運用人工智慧 (AI) 和機器學習 (ML) 分析資料、找出模式並進行預測,最終將資料轉換為可據以實行的洞察資訊。IFA 透過先進的方法來尋找更深入的涵義並做出明智的決策,進而超越一般資料分析。
DAST LLM 掃描器
動態測試應用程式中的大型語言模型 (LLM) 功能,藉此預先偵測機密資訊揭露、提示注入、資料外洩、工具濫用、內容政策違規等問題,防止遭攻擊者利用。配置 AppScan 以針對會話端點、檢索增強生成 (RAG) 管道及其他 LLM 元件進行測試,並透過完整的對話紀錄與修正指引檢閱可重現的結果。
以更聰明方式偵測錯誤頁面的 AI 工具
動態應用程式安全測試 (DAST) 的智慧型發現項目分析 (IFA) 透過減少誤判及增強測試結果,來強化錯誤頁面的偵測能力。HCL AppScan DAST 使用探索和全面的方法來辨識錯誤頁面,現在也選擇性使用生成式 AI 技術來確認錯誤和處理邊緣案例,進而提高準確度並盡可能減少掃描時間。
手動探索
手動探索可讓您探索應用程式的特定部分,並且在探索時填寫欄位與表單。這個方式可以確定涵蓋網站的特定區域,且 AppScan 具有正確完成表單所需的資訊。
使用瀏覽器
針對 Web 應用程式,您通常可以使用 AppScan 瀏覽器來手動探索。如有需要,可以使用外部瀏覽器。
使用外部用戶端
您可以使用行動電話、模擬器(simulator 或 emulator),手動探索 RESTful 或其他非 SOAP Web API - 或不需要安全性信封的 SOAP API。AppScan 會在其「外部資料流量記錄器」中顯示網域和要求,並從輸入建立適當的測試。
正在掃描
瞭解如何啟動掃描,以及掃描期間發生何種情況;如何手動操作「探索」階段,以及如何匯出掃描結果。
資料
在掃描的「探索」階段,資料視圖中會填入網站結構的相關資訊。
問題
「問題」視圖可讓您存取掃描結果。您可以檢視高階結果,也可以選取特定的測試或物件,存取更多詳細資料。這些詳細資料包括如何修正、要求/回應,以及問題產生的測試變式之間的差異。您可以操作問題的嚴重性、重新傳送測試(已修改或未修改),然後根據問題來建立報告。
自訂報告佈置
使用「建立報告」對話框的「自訂報告佈置」選項,您可以自訂報告的外觀。這個特性是選用的,因為您可以只用預設佈置,便能產生報告。
檢視和儲存報告
您可以產生、檢視報告,並將報告儲存為多種格式。
建立局部報告
您可以用滑鼠右鍵按一下要建立報告的 URL 或資料夾,以針對掃描結果的子集來建立「安全報告」或「以範本為基礎的報告」。
報告範本的舊版
有些「業界標準」和「合規性」範本的舊版儲存在 "Old Versions" 資料夾中。
安全報告
「安全報告」提供所發現之安全問題的其他資訊,同時您可以根據您需要的內容類型選擇各式各樣的範本。
相符性報告
相符性報告包含法規相符性報告和業界標準報告。法規相符性報告可讓您知道您的應用程式是否符合特定法規或法律標準。業界標準報告可讓您知道您的應用程式是否符合所選業界委員會的標準。
差異分析報告
「差異分析」報告會比較兩組掃描結果,顯示其中所發現之 URL 及/或安全問題的差異。
以範本為基礎的報告
「建立報告」對話框的「範本型」標籤,可讓您以 Microsoft® Word DOC 和 DOCX 格式建立報告,其中包含完全符合您需求的資料,以及您定義的文件格式。
工具
本節說明如何使用 HCL AppScan Standard 所提供的其他工具。
「選項」對話框
本節會說明您可以從「工具 > 選項」中的「選項」對話框中,控制以自訂 AppScan 的選項。
PowerTool
AppScan 提供五個公用程式的存取權 (PowerTools),每個公用程式都提供特定的特性來協助您管理應用程式安全,或協助您使用 AppScan。
日誌
日誌可協助您進行疑難排解。
搜尋結果
您可以過濾任何視圖中的「結果清單」,來尋找特定資料。
整合
本節說明 AppScan Standard 與其他應用程式的整合:
AppScan on Cloud
本節說明 AppScan Standard 可以與 HCL AppScan on Cloud 互動以掃描雲端上的應用程式的方式。
AppScan 360°
本區段說明 AppScan Standard 與 HCL AppScan 360° 互動的方法。
AppScan Enterprise
本節說明 AppScan Standard Edition 和 Enterprise Edition 的互動方法。
自動化架構
您可使用針對您的 QA 自動化架構所撰寫的 Script(例如 Selenium)來建立 AppScan 掃描的「手動探索」記錄。
最佳作法
本節包含部分適用於進階使用者的最佳實務及使用案例。
進階使用者的工作流程
此工作流程可協助具備 Web 安全領域經驗的使用者達成更徹底的掃描。
使用以參數為基礎的導覽網站
使用單一 URL 呼叫到其所有頁面的網站,需要特定的掃描配置。
掃描現用正式作業環境
在以 AppScan 掃描現用網站之前,應考量下列風險及建議。
瞭解測試最佳化
本節說明「測試最佳化」如何運作,以及如何最妥善地併入您的開發生命週期。
一般常見問題
這個主題處理一般應用程式問題。
外部資料流量記錄器未記錄
如果外部裝置的配置正確無誤,AppScan 的外部登入記錄器和外部資料流量記錄器會在您傳送時顯示從裝置傳送的資料流量。此區段提供未顯示時的建議。
登入疑難排解
在「掃描配置 > 登入管理」視圖中,對階段作業偵測問題進行疑難排解的提示。
多步驟作業疑難排解
疑難排解動作型多步驟作業的一些建議事項。
階段作業外疑難排解
對階段作業外問題進行疑難排解的一些建議。
Postman 集合掃描
針對 Postman 集合掃描疑難排解的一些建議。
伺服器沒有回應
如果伺服器沒有回應,則有一些疑難排解的建議。
延伸支援模式
「延伸支援模式」會記載所有的 AppScan 活動,以包裝並傳送至您的支援提供者,協助疑難排解有問題的程序。
變更預設瀏覽器
您可以將 AppScan 配置成使用其內建瀏覽器以外的瀏覽器。
日誌
此區段包括「掃描日誌」訊息的說明(「檢視」>「掃描日誌」)。
CLI
本節說明透過指令行介面所能使用的語法和選項。
參照
功能表和工具列摘要,以及名詞解釋
瀏覽器工具列
在內嵌的 AppScan® 瀏覽器中,工具列的圖示用來顯示及儲存應用程式的回應畫面。
無障礙
AppScan Standard 支援有特殊需求的使用者,得以有效瀏覽應用程式且與其互動的功能,藉此提升整體實用性,並遵循無障礙支援標準,以確保達成無障礙的目標。
暫存檔案
說明在正常作業期間,AppScan® 將暫存檔儲存在哪裡,以及如何變更位置。
名詞解釋
本名詞解釋說明 AppScan® Standard 使用者介面和說明文件中所用的術語和字首語。
WebSocket 支援
AppScan 能順暢處理使用 JSON 或 XML 訊息交換資料的 WebSocket 通訊協定,在掃描期間會自動檢測並執行適當測試,無須任何特殊配置。
CWE 支援
CWE(常見弱點列舉)是一份業界標準清單,提供常見軟體弱點的一般名稱。現行版本的 AppScan Standard 支援下列 CWE ID 及其母項或子項 ID。