歡迎使用
歡迎使用 HCL AppScan Standard 版本 10.9.0 的說明文件
入門
這一節提供基本產品特性和程序的簡短瀏覽,包括使用精靈來設定掃描。
新增功能
本節說明此版本中的新 AppScan Standard 產品功能和加強功能,以及相關的淘汰和預期變更。
系統需求
機器執行AppScan Standard的最低軟硬體需求摘要。
正在安裝
安裝精靈會引導您完成快速簡單的程序。
HCL 授權
HCL 可透過 My HCLSoftware (MHS) 入口網站管理軟體下載與授權。
自動掃描的運作方式
本主題說明掃描的「階段」和「回合」之間的差異。
Web 應用程式和 API 的探索方法
這個主題說明在 AppScan 測試網站之前,可用來探索網站的不同方法。
Web 應用程式自動掃描工作流程
提供自動掃描 Web 應用程式的簡易工作流程。
Web API 自動掃描工作流程
提供自動掃描 Web API 的簡易工作流程。
首頁畫面
說明您載入 AppScan Standard 時所開啟的主畫面可用的選項。
導覽主畫面
說明 AppScan 主畫面(議題檢視)的元件,以及所有功能表和工具列。
指導教學
這個簡易指導教學所進行的步驟,包括利用「掃描配置」精靈來配置簡易應用程式掃描、執行掃描,以及檢閱結果。
範例檔
範例檔可以協助您體驗 AppScan 的用法及可能的掃描結果。
配置
您可以選擇最佳描述您的應用程式的設定以及所需的測試類型,來配置掃描。
Intelligent Finding Analytics (IFA)
Intelligent Finding Analytics (IFA) 使用人工智慧 (AI) 和機器學習 (ML) 來分析數據、發現模式並進行預測,最終將數據轉化為可行的洞察。IFA 超越了常規數據分析,通過使用先進的方法來發掘更深層次的意義並做出明智的決策。
手動探索
手動探索可讓您探索應用程式的特定部分,並且在探索時填寫欄位與表單。這個方式可以確定涵蓋網站的特定區域,且 AppScan 具有正確完成表單所需的資訊。
使用瀏覽器
針對 Web 應用程式,您通常可以使用內建 Chromium 瀏覽器來進行手動探索。如有需要,可以使用外部瀏覽器。
使用外部用戶端
您可以使用行動電話、模擬器(simulator 或 emulator),手動探索 RESTful 或其他非 SOAP Web API - 或不需要安全性信封的 SOAP API。AppScan 會在其「外部資料流量記錄器」中顯示網域和要求,並從輸入建立適當的測試。
正在掃描
瞭解如何啟動掃描,以及掃描期間發生何種情況;如何手動操作「探索」階段,以及如何匯出掃描結果。
資料
在掃描的「探索」階段,資料視圖中會填入網站結構的相關資訊。
問題
「問題」視圖可讓您存取掃描結果。您可以檢視高階結果,也可以選取特定的測試或物件,存取更多詳細資料。這些詳細資料包括如何修正、要求/回應,以及問題產生的測試變式之間的差異。您可以操作問題的嚴重性、重新傳送測試(已修改或未修改),然後根據問題來建立報告。
自訂報告佈置
使用「建立報告」對話框的「自訂報告佈置」選項,您可以自訂報告的外觀。這個特性是選用的,因為您可以只用預設佈置,便能產生報告。
檢視和儲存報告
您可以產生、檢視報告,並將報告儲存為多種格式。
建立局部報告
您可以用滑鼠右鍵按一下要建立報告的 URL 或資料夾,以針對掃描結果的子集來建立「安全報告」或「以範本為基礎的報告」。
報告範本的舊版
有些「業界標準」和「合規性」範本的舊版儲存在 "Old Versions" 資料夾中。
安全報告
「安全報告」提供所發現之安全問題的其他資訊,同時您可以根據您需要的內容類型選擇各式各樣的範本。
相符性報告
相符性報告包含法規相符性報告和業界標準報告。法規相符性報告可讓您知道您的應用程式是否符合特定法規或法律標準。業界標準報告可讓您知道您的應用程式是否符合所選業界委員會的標準。
差異分析報告
「差異分析」報告會比較兩組掃描結果,顯示其中所發現之 URL 及/或安全問題的差異。
以範本為基礎的報告
「建立報告」對話框的「範本型」標籤,可讓您以 Microsoft® Word DOC 和 DOCX 格式建立報告,其中包含完全符合您需求的資料,以及您定義的文件格式。
工具
本節說明如何使用 HCL AppScan Standard 所提供的其他工具。
「選項」對話框
本節會說明您可以從「工具 > 選項」中的「選項」對話框中,控制以自訂 AppScan 的選項。
Web API 精靈延伸
此延伸可讓您使用 OpenAPI 說明檔進行掃描。可以從「工具 > 延伸 > Web 服務精靈 (OpenAPI)」取得,依預設會啟用延伸。
PowerTool
AppScan 提供五個公用程式的存取權 (PowerTools),每個公用程式都提供特定的特性來協助您管理應用程式安全,或協助您使用 AppScan。
日誌
日誌可協助您進行疑難排解。
搜尋結果
您可以過濾任何視圖中的「結果清單」,來尋找特定資料。
整合
本節說明 AppScan Standard 與其他應用程式的整合:
AppScan on Cloud
本節說明 AppScan Standard 可以與 HCL AppScan on Cloud 互動以掃描雲端上的應用程式的方式。
AppScan 360°
本區段說明 AppScan Standard 跟 HCL AppScan 360° 互動的方法。
AppScan Enterprise
本節說明 AppScan Standard Edition 和 Enterprise Edition 的互動方法。
自動化架構
您可使用針對您的 QA 自動化架構所撰寫的 Script(例如 Selenium)來建立 AppScan 掃描的「手動探索」記錄。
最佳作法
本節包含部分適用於進階使用者的最佳實務及使用案例。
進階使用者的工作流程
此工作流程可協助具備 Web 安全領域經驗的使用者達成更徹底的掃描。
使用以參數為基礎的導覽網站
使用單一 URL 呼叫到其所有頁面的網站,需要特定的掃描配置。
掃描現用正式作業環境
在以 AppScan 掃描現用網站之前,應考量下列風險及建議。
瞭解測試最佳化
本節說明「測試最佳化」如何運作,以及如何最妥善地併入您的開發生命週期。
一般常見問題
這個主題處理一般應用程式問題。
外部資料流量記錄器未記錄
如果外部裝置的配置正確無誤,AppScan 的外部登入記錄器和外部資料流量記錄器會在您傳送時顯示從裝置傳送的資料流量。此區段提供未顯示時的建議。
登入疑難排解
在「掃描配置 > 登入管理」視圖中,對階段作業偵測問題進行疑難排解的提示。
多步驟作業疑難排解
疑難排解動作型多步驟作業的一些建議事項。
階段作業外疑難排解
對階段作業外問題進行疑難排解的一些建議。
Postman 集合掃描
針對「Postman 集合」掃描進行疑難排解的一些建議。
伺服器沒有回應
如果伺服器沒有回應,則有一些疑難排解的建議。
延伸支援模式
「延伸支援模式」會記載所有的 AppScan 活動,以包裝並傳送至您的支援提供者,協助疑難排解有問題的程序。
變更預設瀏覽器
您可以將 AppScan 配置成使用其內建瀏覽器以外的瀏覽器。
日誌
此區段包括「掃描日誌」訊息的說明(「檢視」>「掃描日誌」)。
CLI
本節說明透過指令行介面所能使用的語法和選項。
參照
功能表和工具列摘要,以及名詞解釋
瀏覽器工具列
在內嵌的 AppScan® 瀏覽器中,工具列的圖示用來顯示及儲存應用程式的回應畫面。
無障礙
AppScan Standard 支援有特殊需求的使用者,得以有效瀏覽應用程式且與其互動的功能,藉此提升整體實用性,並遵循無障礙支援標準,以確保達成無障礙的目標。
暫存檔案
說明在正常作業期間,AppScan® 將暫存檔儲存在哪裡,以及如何變更位置。
名詞解釋
本名詞解釋說明 AppScan® Standard 使用者介面和說明文件中所用的術語和字首語。
WebSocket 支援
AppScan 能順暢處理使用 JSON 或 XML 訊息交換資料的 WebSocket 通訊協定,在掃描期間會自動檢測並執行適當測試,無須任何特殊配置。
CWE 支援
CWE(常見弱點列舉)是一份業界標準清單,提供常見軟體弱點的一般名稱。現行版本的 AppScan Standard 支援下列 CWE ID 及其母項或子項 ID。