本节说明如何使用 HCL AppScan Standard 随附的其他工具。
AppScan 提供对五个实用程序 (PowerTool) 的访问权,每个实用程序均提供特定功能来帮助您管理应用程序安全,或帮助您使用 AppScan。
Authentication Tester PowerTool 是一种测试实用程序,它使用“暴力”方法来显现可用于获取 Web 应用程序访问权的较弱用户名-密码组合。(暴力攻击是这样一个自动过程:通过尝试与错误来猜测认证凭证,使服务器将仿冒者识别为合法用户。)
欢迎使用 HCL AppScan Standard 版本 10.8.0 文档。
本部分提供有关基本产品功能和过程的简短浏览,包括使用向导设置扫描。
可通过选择能最好地描述应用程序的设置来配置扫描(您想要的测试类型)。
手动探索使您能够探索应用程序的特定部分,并且随之填写字段和表单。可以通过此方法来确保覆盖了站点的特定区域,并且 AppScan 具有正确填写表单所需的信息。
了解如何启动扫描,扫描期间进行的操作;如何手动处理“探索”阶段,以及如何导出扫描结果。
在扫描的“探索”阶段,“数据”视图将填充有关站点结构的信息。
“问题”视图提供了对扫描结果的访问。您可以在高级别查看结果,或者选择特定测试或对象并访问更多详细信息。这些详细信息包括:如何修复、请求/响应,以及引发问题的测试变体之间的差异。您可以控制问题的严重性,重新发送测试(可修改可不修改),并基于“问题”创建报告。
本部分描述了您能够控制的选项,以从工具 > 选项中的“选项”对话框定制 AppScan 。
此扩展允许您使用 OpenAPI 描述文件进行扫描。此扩展可通过“工具 > 扩展 > Web 服务向导 (OpenAPI)”获得,缺省情况下已启用此扩展。
此 连接测试 PowerTool 使您能够在不使用 ping 协议(很多防火墙都会阻止此协议)的情况下 ping Web 站点。
此 Encode/Decode PowerTool 用于将您置于其中的字符串编码为所选格式,或从所选格式解码。
写入精确的正则表达式是一个单调的反复试验的过程。可使用此 表达式测试 PowerTool 来帮助加快此过程。
此 HTTP 请求编辑器 PowerTool 使您能够向站点发送完全受控的 HTTP 请求,从而测试站点如何响应不同类型的 HTTP 请求。
日志可帮助您进行故障诊断。
您可以对任何视图中的“结果列表”进行过滤以得到特定数据。
本节描述了其他应用程序与 AppScan Standard 的集成:
本节包含针对高级用户的最佳做法和用例以及一些常见问题。
本部分描述了使用命令行界面时可用的语法和选项。
菜单和工具栏摘要,以及词汇表
如果选择表单认证单选按钮,请执行以下过程: