階段作業 ID
如果網站使用有時間限制的階段作業 ID(以 Cookie 或參數的形式),網站會拒絕記號過期的要求;這會造成網站測試失敗。
因此,AppScan 必須能夠辨識及處理有時間限制之階段作業 ID 的 HTML 參數或 Cookie。AppScan 會將最新的可用值指派給階段作業 ID,以防止應用程式階段作業到期。
您可以決定 AppScan 是否應該自動更新階段作業 ID 值。請如下設定階段作業 ID 的狀態:
- 登入值:(建議)當傳送含有這個參數的測試要求時,AppScan 會以「階段作業內」要求之前,從應用程式接收的最後一個值來自動更新階段作業 ID。提示: 如果要追蹤「階段作業內」回應中的參數,您必須將其類型設為動態值,而不是登入值,並且驗證掃描配置 > 進階配置 > 階段作業管理:剖析階段作業內頁面已設為 True(這是預設設定)。除非有設定特定值的特定需求,否則,這便是大部分參數與 Cookie 的建議狀態。不過,當使用「登入值」階段作業 ID 時,這個值有可能在資料庫中,便告過期。註: 如果您在多步驟序列當中記錄登入步驟,將收到的參數定義為「登入值」不會影響其使用方式。它一律會被視為「動態值」。如果需要詳細資料,請參閱多步驟作業。
如果要在資料庫中更新已追蹤的某個階段作業 ID:您只需要在執行掃描之前,造訪階段作業 ID 所送往的 URL 即可。這時會以更新的值來送出新的階段作業 ID。
-
動態值AppScan 在「測試」階段期間, 會根據 Web 應用程式在先前的測試中所設的新值來自動更新階段作業 ID 值(舉例來說,如同 Shadow Cookie)。
請只在已知 Web 應用程式所施行的安全措施會在特定使用程序中,要求更新特定階段作業 ID 時,才選取動態 。
-
固定值:保留固定值。如果您的 Web 應用程式安全要求這個階段作業 ID 一律是固定值,請在階段作業 ID 中設定固定值。
在「探索」階段期間,AppScan 會自動偵測有可能是階段作業 ID 的 Cookie 和 HTML 參數,將它們加到一份清單中。當配置掃描時,您可以手動新增已知是階段作業 ID 的 Cookie 與參數。