参数
这些是包含了一个或多个参数的请求。
结果列表显示在“探索”阶段中找到的所有参数。此列表中的 URL 是最有可能易受恶意攻击的 URL。此列表在评估扫描是否已生成有用测试请求集时可能很关键。
对于“脚本参数”列表中的每个参数,AppScan 都将显示名称、类型、值、URL(“结果”窗格)和值(“详细信息”窗格)以及是否已跟踪。如果一个参数名称出现在不同 URL 上,或者如果它在同一 URL 上有不同值,那么它可能多次列出。
下表显示了当您右键单击列表中的某项时可用的选项。
选项 |
函数 |
---|---|
复制 URL |
将所选 URL 复制到剪贴板。 |
添加到“参数和 Cookie”选项卡中的列表 |
通过右键单击并选择添加到参数和 Cookie 列表,可将选定参数名称(所有值)添加到“配置”对话框中的列表。将打开参数定义对话框,以配置 AppScan 对此参数的处理方式。 |
从扫描中排除此“路径-参数-值”组合 |
当特定参数值出现在特定 URL 中时从扫描中排除该值。当您选择该选项时,“编辑排除或例外”对话框将打开(已填写相关数据)。 示例 请考虑具有以下 URL 的站点: http://site/command 和名为“action”的 POST 参数。每个值都将触发来自服务器的不同响应:
要使 AppScan 能够扫描该站点,必须在 有关更多详细信息,请参阅添加新的排除或例外 |
不测试所选参数 |
从扫描的“测试”阶段中排除一个或多个参数名称(所有值)。该设置将应用于指定参数的所有值。它不会影响“探索”阶段。 参数名称将添加到“配置”对话框的“参数和 Cookie”视图中的列表,并且其测试排除值将设置为“是”。 有关更多详细信息,请参阅参数、Cookie 和头 |