参数

这些是包含了一个或多个参数的请求。

结果列表显示在“探索”阶段中找到的所有参数。此列表中的 URL 是最有可能易受恶意攻击的 URL。此列表在评估扫描是否已生成有用测试请求集时可能很关键。

对于“脚本参数”列表中的每个参数,AppScan 都将显示名称、类型、值、URL(“结果”窗格)和值(“详细信息”窗格)以及是否已跟踪。如果一个参数名称出现在不同 URL 上,或者如果它在同一 URL 上有不同值,那么它可能多次列出。

下表显示了当您右键单击列表中的某项时可用的选项。

1. 右键单击选项

选项

函数

复制 URL

将所选 URL 复制到剪贴板。

添加到“参数和 Cookie”选项卡中的列表

通过右键单击并选择添加到参数和 Cookie 列表,可将选定参数名称(所有值)添加到“配置”对话框中的列表。将打开参数定义对话框,以配置 AppScan 对此参数的处理方式。

从扫描中排除此“路径-参数-值”组合

当特定参数值出现在特定 URL 中时从扫描中排除该值。当您选择该选项时,“编辑排除或例外”对话框将打开(已填写相关数据)。

示例

请考虑具有以下 URL 的站点:http://site/command 和名为“action”的 POST 参数。每个值都将触发来自服务器的不同响应:
  • action=login,重定向至登录页面
  • action=logout,会话到期
  • action=clean,服务器删除用户数据

要使 AppScan 能够扫描该站点,必须在 action=logoutclean 时排除 http://site/command,但在 action=login 或其他值时不进行此排除。这可通过使用此功能在参数名为 action 并且值为 logoutclean 的情况下排除 http://site/command 来实现。

有关更多详细信息,请参阅添加新的排除或例外

不测试所选参数

从扫描的“测试”阶段中排除一个或多个参数名称(所有值)。该设置将应用于指定参数的所有值。它不会影响“探索”阶段。

参数名称将添加到“配置”对话框的“参数和 Cookie”视图中的列表,并且其测试排除值将设置为“是”。

有关更多详细信息,请参阅参数、Cookie 和头