起始配置

執行這項作業的原因和時機

在嘗試開始探索網站之前(無論手動或自動),先執行這些基本配置步驟。

程序

  1. 定義和驗證掃描的起始 URL。
    1. 按一下檔案 > 新建,並使用精靈來建立新的 Web 應用程式掃描(或使用配置對話框來配置,掃描配置 > URL 和伺服器視圖)。
    2. 輸入掃描的「起始 URL」。
    3. 如果您的應用程式區分大小寫,請確定已選取「區分大小寫路徑」勾選框。

      一般而言,在 Linux 型作業系統上執行的應用程式通常會區分大小寫,而在 Microsoft Windows 上執行的應用程式則不區分大小寫。Java 型應用程式則為例外,通常在任何作業系統上都是區分大小寫。

    4. 請按一下 URL 欄位旁的在瀏覽器中檢視圖示,並且驗證預期的頁面會出現在 AppScan 瀏覽器中。
  2. 記錄登入程序。這可讓 AppScan 登入應用程式來開始掃描,且只要在掃描期間登出,也隨時都能登入。
    1. 在精靈的步驟 2 中(或在掃描配置 > 登入管理視圖中),按一下紅色的「記錄」按鈕,開始記錄您的動作。瀏覽器會開啟於 您先前定義的起始 URL。
    2. 執行使用者需要執行的所有步驟,以登入應用程式。
    3. 在頁面中尋找某種可確認您已登入且只有已登入的使用者才會看見的指示,例如:「歡迎 [使用者名稱]」或「登出」鏈結。
    4. 關閉瀏覽器,並尋找綠色鑰匙圖示 ,確認已識別階段作業內型樣。
      如果圖示是紅色 ,表示偵測到階段作業內型樣,您必須手動定義它(請參閱 選取「偵測型樣」對話框)。
      註: 一般而言,雖然其回應包含階段作業內型樣的第一個 URL 應該是「階段作業內 URL」,而且這會是自動選取的 URL,但有時候選取稍後的 URL 可以改善效能(請參閱最佳化階段作業內偵測)。
  3. 驗證階段作業內型樣。階段作業內型樣是一個正規表示式,它符合使用者成功登入之後在頁面中所看到的型樣或字串,例如:「歡迎 [使用者名稱]」或「登出」鏈結。即使圖示是綠色,也應驗證這個型樣。
    1. 在精靈的步驟 2 中,選取我要配置階段作業內偵測選項,然後按下一步(或移至掃描配置 > 登入管理 > 詳細資料視圖)。

      這時會顯示「登入序列」。

    2. 按兩下標示「階段作業內」的頁面,以便在瀏覽器中開啟該頁面。
    3. 在瀏覽器中,按一下「要求/回應」標籤來查看原始碼,並且驗證選取的型樣確實指出階段作業內狀態。
      註: 如果頁面內容是 JavaScript 或 CSS,無論如何它都不適合作為階段作業內頁面,您應該選擇其他頁面。

    如果鑰匙圖示為綠色,但是選取的型樣不是階段作業內型樣,請參閱 要求型登入疑難排解

  4. 將配置封鎖在外。在「測試」階段期間,AppScan 會嘗試多次的無效登入。如果您的網站具有帳戶封鎖特性,當輸入無效密碼達到特定次數時,就會將使用者封鎖在外,AppScan 將被封鎖在外而無法完成掃描。
    • 停用帳戶封鎖,或(如果這不是務實做法的話)
    • AppScan 配置成不測試登入和登出頁面(掃描配置 > 測試選項,取消選取傳送對登入和登出頁面的測試)。