您可以選擇最佳描述您的應用程式的設定以及所需的測試類型,來配置掃描。
您可以配置 AppScan 來忽略應用程式中的特定路徑,或忽略特定類型的檔案。
從掃描中排除特定類型的檔案。
歡迎使用 HCL AppScan Standard 版本 10.10.0 的說明文件
這一節提供基本產品特性和程序的簡短瀏覽,包括使用精靈來設定掃描。
「預設」提供特定掃描類型所需的主要配置視圖。
配置掃描的「起始 URL」,以及要併入的任何其他伺服器和網域。
若要掃描 Web API,請定義您的 API 類型、探索方法,並指定要測試的網域。
從掃描中排除應用程式中的特定路徑。
利用「排除項目」和「例外項目」來限制掃描範圍。
記錄和管理要到達應用程式特定部分所需的多步驟作業,而這些部分可能遺漏。
配置 AppScan 來動態測試應用程式中的大型語言模型 (LLM) 功能,偵測潛在風險,例如機密資訊揭露、提示注入、資料外洩、工具濫用以及內容原則違規。鎖定會話端點、檢索增強生成 (RAG) 管道及其他 LLM 元件進行測試,接著透過 LLM 互動歷程與修正指引檢閱可重現的結果。
顯示 AppScan® 如何登入您的應用程式。
AppScan Standard 支援 API 鑑別以掃描需要 API 金鑰的 API。
配置 AppScan® 以在登入時使用一次性密碼或安全性問題(多重因素驗證)。
視應用程式需要,新增伺服器層級的鑑別和用戶端憑證。
配置 AWS 設定。
設定通訊逾時及 Proxy 伺服器設定。
識別階段作業 ID,並列出要從掃描中排除的參數。
請將有效的參數值提供給 AppScan®,以便在掃描期間填入應用程式中的表單。
透過新增字串或正規表示式來強化應用程式的錯誤頁面識別,使 AppScan® 能夠辨識回應內容、路徑或兩者的錯誤頁面。如此可確保 AppScan 能夠有效辨識和處理錯誤頁面,從而提高安全掃描的整體準確性。
定義 AppScan 將用來探索應用程式的探索方法(動作型、要求型或兩者),以及其他基本和進階探索設定。
定義將在測試期間傳送至應用程式的測試集合(測試原則),在速度對您而言比掃描深度更為重要時,在產品生命週期中偶爾套用最佳化以進行更快速的掃描。
環境定義並非必要,不過,在掃描期間,它可讓 AppScan® 安全地免於傳送無關的測試,使掃描更快、更準確。自訂 CVSS 3.1 環境評分將會改善掃描結果的精確度。
其他測試選項。
此視圖可讓您存取許多進階設定,且只應由有經驗的 AppScan 使用者使用,或在支援團隊指示您時用以進行疑難排解。
自訂 Script 可讓您進行更動態化的 DAST 掃描。您可以在掃描期間新增 JavaScript,以在要求送出至伺服器之前或收到回應之後操作 HTTP 要求與回應。
比較使用不同使用者專用權的掃描,以探索非特許使用者是否可以存取特許資源。
可讓您定義應用程式樹狀結構的邏輯結構,以防 URL 型樹狀結構只是一或兩個 URL 下的長清單。這不是要點,但可讓結果更容易導覽。
說明 AppScan Standard SCAN 檔案的基本結構。
掃描範本只是已儲存而可重複使用的掃描配置。
智慧型發現項目分析 (IFA) 運用人工智慧 (AI) 和機器學習 (ML) 分析資料、找出模式並進行預測,最終將資料轉換為可據以實行的洞察資訊。IFA 透過先進的方法來尋找更深入的涵義並做出明智的決策,進而超越一般資料分析。
手動探索可讓您探索應用程式的特定部分,並且在探索時填寫欄位與表單。這個方式可以確定涵蓋網站的特定區域,且 AppScan 具有正確完成表單所需的資訊。
瞭解如何啟動掃描,以及掃描期間發生何種情況;如何手動操作「探索」階段,以及如何匯出掃描結果。
在掃描的「探索」階段,資料視圖中會填入網站結構的相關資訊。
「問題」視圖可讓您存取掃描結果。您可以檢視高階結果,也可以選取特定的測試或物件,存取更多詳細資料。這些詳細資料包括如何修正、要求/回應,以及問題產生的測試變式之間的差異。您可以操作問題的嚴重性、重新傳送測試(已修改或未修改),然後根據問題來建立報告。
本節說明如何使用 HCL AppScan Standard 所提供的其他工具。
本節說明 AppScan Standard 與其他應用程式的整合:
本節包含部分適用於進階使用者的最佳實務及使用案例。
本節說明透過指令行介面所能使用的語法和選項。
功能表和工具列摘要,以及名詞解釋
這時會出現編輯排除檔案類型對話框,顯示所選排除項目的相關副檔名。
