HCL AppScan Enterprise 中文文檔 10.0.1 支持的技術
了解站點使用的哪些技術可能影響 AppScan 掃描站點的能力以及哪些技術完全不會影響掃描,這點非常重要。
- AppScan 是一種“黑盒”(DAST) 工具,并使用與瀏覽器相同的機制來掃描站點。因此,對于瀏覽器透明的服務器端技術對于 AppScan 也透明,但不會影響掃描。
- 客戶機端技術(如 JavaScript 和 HTTP 協議)本身不影響 AppScan。與瀏覽器不同,AppScan 需要在運行自動爬行、會話維護和測試的級別了解這些技術。在這些情況下,需要配置 AppScan 以能夠正確的掃描。
AppScan 掃描包含兩個主要階段:探索和測試。對于每個階段,下表提供了用于了解哪些服務器端和客戶機端技術可能影響掃描而且在哪些情況下需要配置的準則。
表 1. 支持的技術
| 服務器端技術 | 客戶機端技術 | |
|---|---|---|
| 探索階段 | 任何不影響客戶機的服務器端技術(如使用的特定數據庫)不會以任何方式影響掃描。如果 AppScan 配置正確,那么影響客戶機的很多機制(例如會話管理)將不會限制掃描。例如,Web 服務器和應用程序服務器影響管理會話標識的方式,AppScan 必須能夠跟蹤這些標識。很多常用會話標識是預定義的,或者可由 AppScan 自動檢測,而且不需要額外的配置。但,對于某些定制機制,仍可能需要額外的配置。AppScan 特別支持 WebSphere Portal 定制 URL。WebSphere Portal 對 URL 編碼,這使得以 URL 所顯示的方式來對它們進行跟蹤就比較困難。AppScan 會解碼這些 URL,以理解這些 URL 并對其進行調優。僅對 Java 和 .NET 支持 glass box 掃描。 | 當今使用的兩項主要客戶機端技術是 HTML5 和 JavaScript,這兩項技術都會影響掃描的探索階段:AppScan 在探索階段支持 HTML。這表示鏈接可以抽取,表單可以理解和填寫等等。AppScan 支持(執行)純 JavaScript。支持多個主要框架,包括 JQuery、AngularJS 和 PrototypeJS。但其他很多 JS 框架不受支持,不會以任何方式影響掃描。如果自動探索階段因特定技術丟失頁面,可以在自動探索之后,測試階段之前,通過手動探索站點將這些頁面添加到掃描。 |
| 測試階段 | AppScan 旨在測試應用程序而不是其支持技術;它們不影響測試。再次考慮數據庫:AppScan 的 SQL 注入測試套件與所用的數據庫無關。它也會影響第三方測試(“場景漏洞”測試)的特定測試。 | 僅在 JavaScript 代碼上執行客戶機端測試。當前,僅檢測純 JS 漏洞。不支持 JS 框架;使用框架的 JS 代碼可能無法正確地分析。完全支持 HTML5。 |
推薦文章: