評估「探索」結果
繼續進行「測試」階段之前,請先檢閱「探索」結果,這是因為如果在「探索」階段期間遺漏了網站的重要區域,在「測試」階段期間並不會測試到。
執行這項作業的原因和時機
註: 如果您在這個階段進行任何的配置變更,在開始「測試」階段之前,應該「重新探索」應用程式。
程序
- 掃描日誌。請使用此項來檢查 AppScan 未頻繁登出階段作業。
- 請按一下檢視 > 掃描日誌。
- 往下捲動日誌項目,檢查 AppScan 未頻繁登出階段作業。
如果 AppScan 曾在五分鐘內登出階段作業超過若干次,較有利的作法是重新記錄和重新配置所記錄的登入,並特別注意階段作業內偵測配置。
- 應用程式樹狀結構。這是以圖形來呈現網站中已發現和已探索的所有區域。請利用它來瞭解網站的涵蓋是否周延。
- 應用程式樹狀結構是否精確顯示您的應用程式的階層式結構與主要頁面?
- 樹狀結構中是否有「登入 URL」?(若無,表示從未傳送登入。)
- 已造訪的 URL 總數(左下角)是否符合您對實際網站大小的瞭解?
- 是否已建立合理的測試次數,以便在「測試」階段期間傳送(應該至少是 URL 數目的 5 倍)?
- 傳送的要求。請檢閱和驗證「探索」階段期間所傳送的要求。
- 在「資料」窗格中,選取要求視圖,以顯示所有已傳送的要求。
- 驗證登入 URL 是否出現在這份清單中,特別是階段作業內要求和包含使用者認證的登入要求。
- 仔細檢查出現在「登入」程序中之登入要求之後的一些要求。驗證回應沒有包含任何錯誤。其作法是在「明細窗格」搜尋欄位中輸入 "error" 單字,然後在上方窗格中逐一選取 URL。若有特定回應包含 "error" 單字,搜尋欄位的顏色會從紅色(找不到)變更為綠色(找到),並且會在回應主體中強調顯示 "error" 單字。
- 如果這些要求包含 error 字串,表示使用者已登出階段作業,因此「登入」程序的記錄不正確。請重新記錄。
- 「應用程式資料」視圖。這是「測試」階段期間的預設視圖,按一下窗格頂端周圍的過濾器,它就會提供各種不同的視圖。
- 按一下 F2,或工具列右側的資料圖示,以開啟這個視圖。
- 在「資料」窗格頂端,選取一個過濾器來檢視資訊。
- 按一下資料窗格中的項目,以便在「明細窗格」中檢視其詳細資料。
-
錯誤頁面。4xx 回應會自動識別為錯誤頁面。如果您的網站傳回含有錯誤頁面的 2xx 回應,您必須配置 AppScan 以進行辨識。此資訊攸關測試能否成功。如果沒有配置錯誤頁面,會導致結果不精確,包括誤判和假性無侵害攻擊都可能發生。因此,如果您在前一個步驟中,找到其回應含有 "error" 字組的頁面,但卻未將之分類成錯誤頁面,請立即配置它們。
- 已過濾的 URL。請檢閱未傳送的要求清單,驗證其中不含應該已傳送的要求。
- 參數型導覽。如果整個網站或網站某一部分會傳送單一 URL,且不同的參數會控制內容和結構,請參閱 使用以參數為基礎的導覽網站。
- 參數。在「資料」窗格中,檢閱「探索」階段期間所發現的參數。
- 在「資料」窗格中,選取參數視圖,以查看「探索」階段期間所發現的所有參數。
- 必要的話,請更新定義(配置 > 參數與 Cookie)。
- 失敗的要求。這些要求的回應狀態是 4xx(錯誤)。請檢閱這份清單,檢查合法的要求是否意外收到錯誤回應。
- 在「資料」窗格中,選取失敗要求視圖。
- 404 找不到:請按一下在瀏覽器中顯示,驗證該 URL 是否不存在。
- 逾時或連線失敗:查看掃描是否需要更高的逾時值(配置 > 通訊與 Proxy > 逾時),網站的伺服器或環境是否需要改良,或者連線問題是否因同時傳送要求所致(配置 > 通訊與 Proxy > 執行緒數目,將設定降為「1」),或是因給定的時間內傳送過多要求所致(配置 > 通訊與 Proxy > 要求率限制)。
- 401 或 407 需要鑑別:這表示應用程式中有些區域需要 HTTP 鑑別(請在配置 > 平台鑑別中進行設定)。
- 其他 4xx 狀態:檢查網站是否因使用者未登入而傳回錯誤。必要的話,再次記錄登入程序(配置 > 登入管理)。
- 檢閱起始「探索」結果之後,如果您覺得涵蓋面不足,請參閱下一節,以進行可能的配置變更。請參閱 其他配置。