多因子鑑別 (MFA)

配置 AppScan® 以在登入時使用一次性密碼或安全性問題(多重因素驗證)。

一次性密碼 (OTP)

如果您的應用程式使用 OTP,請選取下列兩個選項之一,否則請保留預設設定:無。

當您記錄登入程序時,AppScan 會從流量擷取相關參數,並新增到「OTP HTTP 參數」清單中。此外,也會新增至「自動表單填入」視圖中的 OTP 項目。如果 AppScan 無法識別參數,您必須在這個視圖或「自動表單填入」視圖中自行新增。
限制:
  • 每次掃描都只支援一個 OTP 類型(TOTP 或 URL 產生的)。
  • 若為 TOTP,僅支援數值。
  • 配置 OTP 時,「動作型」必須是 登入播放 中選取的「登入播放」方法。OTP 將無法使用要求型登入。
若要觀看我們的短視訊示範,請按一下底下圖示:

如何識別 OTP HTTP 參數

AppScan 需要知道包含 OTP 的參數名稱(以便能夠登入應用程式),並且通常會在驗證「已記錄的登入」程序時識別它。如果無法這樣做,或如果您使用「自動登入」,則必須自行新增參數。

若要識別參數,請執行下列動作:
  1. 開啟瀏覽器,並移至應用程式的登入頁面。
  2. 按一下 F12 以開啟瀏覽器的開發人員工具窗格(在主要瀏覽器窗格的右側或下方開啟)。
  3. 按一下「元素」標籤以檢視 HTML 程式碼。

    選取程式碼的一部分時,會在主要瀏覽器窗格中強調顯示該元素。

  4. 尋找強調顯示 OTP 欄位的元素。
    範例:
    <input type="text" name="OTPvalue" value="">
  5. name 參數的值(不含引號)是您需要的 OTP HTTP 參數。
    範例:
    OTPvalue
  6. 如果有多個 OTP HTTP 參數,請按一下新增另一個以視需要新增其他欄位。

安全問題

「安全問題」是應用程式和網站用來為使用者帳戶增添額外安全層的常見方法。這些問題通常屬於個人,需要使用者提供只有他們自己知道的特定答案。此額外步驟有助於驗證使用者身分,特別是在密碼復原或存取機密資訊時。

若您的應用程式使用安全性問題進行使用者鑑別,請務必在此新增這些問題。這可使 AppScan 能在登入錄製、登入中狀態偵測或登入播放過程中,正確識別並擷取安全性問題。

如要新增安全性問題:
  1. 按一下 + 新增
  2. 請輸入與您的應用程式中定義完全相同的問題。
  3. 請輸入與您的應用程式中定義完全相同的答案。
  4. 選擇定義參數。
  5. 按一下套用
註: 請務必包含應用程式中使用的所有安全性問題與答案。若未包含,使用 AppScan 掃描、錄製登入或存取機密資訊時可能會導致問題。

當您錄製登入(包含回答安全性問題)或開始掃描時,AppScan 會在登入期間或成功登入後的掃描過程中,識別應用程式中的安全性問題。

使用此功能時,建議啟用 SessionManagement:ShowActionBasedPlayerWindow 旗標,以確認安全性問題是否已正確回答。若要啟動此設定:
  1. 移至工具 > 選項 > 進階
  2. 尋找 SessionManagement:ShowActionBasedPlayerWindow,然後將其設定變更為 True
  3. 執行掃描。瀏覽器會在掃描時開啟,您可以在 AppScan 探索網站時監看(包含答案)。