测试选项

其他测试选项。

该视图允许您配置会影响扫描长度和完整性的各种设置。但是,在大多数情况下,缺省设置就已足够了。
注: 如果在扫描对“测试选项”进行更改,那么可能会提示您重新扫描,因为并非所有的更改都可以应用于现有结果。

设置

详细信息

常规

使用自适应测试

AppScan 可将成千上万的测试发送到站点。但是,为缩短扫描时间,可以发送初步测试,以明确确定哪些测试是适合发送的,哪些测试是可以省掉的。这就是“自适应测试”,它可以极大地缩短扫描时间,同时不影响效率。

如果您想要 AppScan 将其全部测试都发送到此站点,请清空此复选框。

允许多阶段扫描

AppScan 会分析发送到应用程序的测试的响应。通常,AppScan 可以从该分析中发现其他内容,例如在扫描的第一“阶段”看不到的链接。多步骤扫描允许 AppScan 在该最新检测内容上重复探索和测试阶段。(通常,由于仅涉及新的链接,因此其他阶段会更短。)

缺省情况下配置的“多阶段扫描”最多允许四个扫描阶段。

注意:仅当运行“全面扫描”时才应用多阶段扫描。如果使用“仅探索”和“仅测试”功能,那么结果将会是单阶段扫描。

针对每个问题仅保存一种变体

缺省情况下,AppScan 会针对每个问题测试多个变体,以确保全面检测漏洞。要优化扫描时间,可以启用此选项,以将 AppScan 限制为仅在发现问题的第一个变体之前进行测试。虽然这样可以缩短扫描时间,但请务必注意,可能会遗漏一些具有不同变体的漏洞。

分析对超出特定测试范围的问题的测试响应

选择该选项时,AppScan 会为除特定测试问题之外的其他安全问题分析每个测试响应。如果应用程序太大,或扫描生成了大量错误肯定结果,那么请取消选中该选项。

对于超出特定测试范围的问题,仅分析一种变体

缺省情况下,对于更广泛的问题类型,AppScan 仅分析一种变体,以提高效率并避免冗余。要分析更多变体,请取消选择此选项,但请注意,这样做会增加扫描时间。

如果您选择了“针对每个问题仅保存一种变体”和“分析对超出特定测试范围的问题的测试响应”,则缺省情况下将选择此选项,并且不能更改。

包括超出特定测试范围的问题的所有变体

(仅在上一个复选框已选中的情况下才处于活动状态。)选中时,除了测试的特定问题之外,AppScan 还将分析每个问题的所有变体;取消选中时,仅分析每个问题的一个变体。通常不必选中此复选框,选中后可能会显著延长扫描时间。

仅测试表单提交请求中的 cookie 安全性问题

选中时(缺省),AppScan 将仅针对表单提交请求中使用的 Cookie 提交 Cookie 相关测试。要实现更高的精确性(但会延长扫描时间),请取消选中此复选框,然后 AppScan 将针对所有相关 HTTP 请求来提交 Cookie 测试。

报告易受攻击的组件

代码中的第三方组件在“探索”阶段进行识别,并显示在“数据”视图中。

当选择此选项(缺省值)时,AppScan 将在“问题”视图中报告这些组件中的已知漏洞,并建议更新。有关更多详细信息,请参阅Components

要确保 AppScan 使用最新版本的易受攻击组件数据库,您可以下载最新更新,然后使用工具 > 选项下的导入文件选项将其导入。有关更多详细信息,请参阅导入文件部分。

登录/注销测试

发送对登录页面的测试

除非应用程序会阻止提供非法输入的用户,或在 AppScan 测试这些页面时会更改应用程序流,否则建议允许 AppScan 测试登录页面。

请勿在测试登录页面时发送会话标识

仅在选中“发送对登录页面的测试”复选框时,此选项才处于活动状态。建议将此复选框保留为选中状态,因为测试登录页面时会话标识可能会导致测试不成功。仅当您确定需要有效会话令牌来测试登录页面时,才应清除该复选框。

请注意,即使选中该复选框,某些测试仍会与会话标识一起发送,以防止产生误报结果。

发送对注销页面的测试

除非应用程序会阻止提供非法输入的用户,或在 AppScan 测试这些页面时会更改应用程序流,否则建议允许 AppScan 测试注销页面。

不易受攻击的变体

保存不易受攻击的变体信息

扫描期间,AppScan 会向它正在测试的站点发送上千的测试变体。这些测试中很多的响应会指出,它们不会构成任何类型的安全威胁,在缺省情况下,AppScan 会废弃所有的这些“不易受攻击”结果,这会显著减少结果数据的数量。

如果选中此复选框,那么 AppScan 将保存所有不易受攻击的变体。此时会显示警告:该选项可能会降低 AppScan 性能,并显著增加必需的磁盘空间。

如需了解更多详细信息,请参阅 不易受攻击的变体

问题管理

将之前的干扰分类应用于该扫描

如果您之前在扫描中将一个或多个问题标识为“干扰”(表示它们与您的应用程序无关),则除非您清除此复选框,否则系统自动会将相同设置应用到后续扫描。

如需了解更多详细信息,请参阅 问题状态:“未解决”或“干扰”