测试选项
其他测试选项。
设置 |
详细信息 |
---|---|
常规 |
|
使用自适应测试 |
AppScan 可将成千上万的测试发送到站点。但是,为缩短扫描时间,可以发送初步测试,以明确确定哪些测试是适合发送的,哪些测试是可以省掉的。这就是“自适应测试”,它可以极大地缩短扫描时间,同时不影响效率。 如果您想要 AppScan 将其全部测试都发送到此站点,请清空此复选框。 |
允许多阶段扫描 |
AppScan 会分析发送到应用程序的测试的响应。通常,AppScan 可以从该分析中发现其他内容,例如在扫描的第一“阶段”看不到的链接。多步骤扫描允许 AppScan 在该最新检测内容上重复探索和测试阶段。(通常,由于仅涉及新的链接,因此其他阶段会更短。) 缺省情况下配置的“多阶段扫描”最多允许四个扫描阶段。 注意:仅当运行“全面扫描”时才应用多阶段扫描。如果使用“仅探索”和“仅测试”功能,那么结果将会是单阶段扫描。 |
针对每个问题仅保存一种变体 | 缺省情况下,AppScan 会针对每个问题测试多个变体,以确保全面检测漏洞。要优化扫描时间,可以启用此选项,以将 AppScan 限制为仅在发现问题的第一个变体之前进行测试。虽然这样可以缩短扫描时间,但请务必注意,可能会遗漏一些具有不同变体的漏洞。 |
分析对超出特定测试范围的问题的测试响应 |
选择该选项时,AppScan 会为除特定测试问题之外的其他安全问题分析每个测试响应。如果应用程序太大,或扫描生成了大量错误肯定结果,那么请取消选中该选项。 |
对于超出特定测试范围的问题,仅分析一种变体 | 缺省情况下,对于更广泛的问题类型,AppScan 仅分析一种变体,以提高效率并避免冗余。要分析更多变体,请取消选择此选项,但请注意,这样做会增加扫描时间。 如果您选择了“针对每个问题仅保存一种变体”和“分析对超出特定测试范围的问题的测试响应”,则缺省情况下将选择此选项,并且不能更改。 |
包括超出特定测试范围的问题的所有变体 |
(仅在上一个复选框已选中的情况下才处于活动状态。)选中时,除了测试的特定问题之外,AppScan 还将分析每个问题的所有变体;取消选中时,仅分析每个问题的一个变体。通常不必选中此复选框,选中后可能会显著延长扫描时间。 |
仅测试表单提交请求中的 cookie 安全性问题 |
选中时(缺省),AppScan 将仅针对表单提交请求中使用的 Cookie 提交 Cookie 相关测试。要实现更高的精确性(但会延长扫描时间),请取消选中此复选框,然后 AppScan 将针对所有相关 HTTP 请求来提交 Cookie 测试。 |
报告易受攻击的组件 |
代码中的第三方组件在“探索”阶段进行识别,并显示在“数据”视图中。 当选择此选项(缺省值)时,AppScan 将在“问题”视图中报告这些组件中的已知漏洞,并建议更新。有关更多详细信息,请参阅Components。 要确保 AppScan 使用最新版本的易受攻击组件数据库,您可以下载最新更新,然后使用 下的导入文件选项将其导入。有关更多详细信息,请参阅导入文件部分。 |
登录/注销测试 |
|
发送对登录页面的测试 |
除非应用程序会阻止提供非法输入的用户,或在 AppScan 测试这些页面时会更改应用程序流,否则建议允许 AppScan 测试登录页面。 |
请勿在测试登录页面时发送会话标识 |
仅在选中“发送对登录页面的测试”复选框时,此选项才处于活动状态。建议将此复选框保留为选中状态,因为测试登录页面时会话标识可能会导致测试不成功。仅当您确定需要有效会话令牌来测试登录页面时,才应清除该复选框。 请注意,即使选中该复选框,某些测试仍会与会话标识一起发送,以防止产生误报结果。 |
发送对注销页面的测试 |
除非应用程序会阻止提供非法输入的用户,或在 AppScan 测试这些页面时会更改应用程序流,否则建议允许 AppScan 测试注销页面。 |
不易受攻击的变体 |
|
保存不易受攻击的变体信息 |
扫描期间,AppScan 会向它正在测试的站点发送上千的测试变体。这些测试中很多的响应会指出,它们不会构成任何类型的安全威胁,在缺省情况下,AppScan 会废弃所有的这些“不易受攻击”结果,这会显著减少结果数据的数量。 如果选中此复选框,那么 AppScan 将保存所有不易受攻击的变体。此时会显示警告:该选项可能会降低 AppScan 性能,并显著增加必需的磁盘空间。 如需了解更多详细信息,请参阅 不易受攻击的变体 |
问题管理 |
|
将之前的干扰分类应用于该扫描 |
如果您之前在扫描中将一个或多个问题标识为“干扰”(表示它们与您的应用程序无关),则除非您清除此复选框,否则系统自动会将相同设置应用到后续扫描。 如需了解更多详细信息,请参阅 问题状态:“未解决”或“干扰” |