針對內容掃描的最佳做法

確定內容掃描作業將掃描的應用程序中正在使用的技術，并且參考下列針對各類型的最佳做法。

使用測試用戶帳戶

使用可以跟蹤的測試帳戶，以確保不會真正訂購服務，因此在它崩潰的情況下可以將其復位。通過測試帳戶，管理員還可以在測試之后更輕松地清理站點。對于測試帳戶，請考慮下列事項：

• 它應僅對數據庫中的測試記錄具有訪問權限，以便可以恢復修改的記錄。
• 刪除測試帳戶所創建的新紀錄。
• 忽略測試帳戶中的訂購單或其他交易。
• 如果站點包含論壇，則測試帳戶應僅訪問測試論壇，以便真實客戶在測試階段期間不能夠看到測試。例如，看到跨站點腳本編制彈出窗口可能會令人驚恐不已。
• 如果站點對不同帳戶使用不同的特權，則使用多個測試帳戶。使用多個測試帳戶將確保更全面的應用程序測試。

起始 URL

確定是否要掃描起始 URL 中所包含目錄的上級目錄。例如，提供給您起始 URL www.example.com/customers/default.aspx 并且您已選中在起始域中僅掃描各起始 URL 的目錄中和目錄下的鏈接復選框。在此狀態下，作業不能掃描 www.example.com/partners， 因為它不在客戶目錄內。要掃描合作伙伴目錄的內部，您必須清除此復選框。

缺省情況下會選中在起始域中僅掃描各起始 URL 的目錄中和目錄下的鏈接復選框。

在作業的“安全性”頁面上選擇的“安全性測試策略”及其“服務器組”必須與該起始 URL 相符。如果服務器組準許掃描的 URL 或 IP 地址不在起始 URL 中，則不會測試它們的安全問題。

常見做法是將各掃描作業限制到一個站點。此最佳做法在儀表板中提供更佳的執行級別報告，并且通常會更好地反映組織內的不同業務線或職責領域。使用報告機制以任意方式聚集來自不同作業的數據。

其他域

確定您的起始 URL 外部是否存在包含您也想要檢查的內容的域。如果您發現在第一次掃描時沒有足夠的內容受到掃描，請選中 Web 站點體系結構報告以查看是否有其他域可添加到掃描中。使用“掃描對象”頁面添加其他域。

排除 Cookie 和參數

指定排除的 cookie 和參數是僅對一個頁面實例計數的有效方式，只要特定查詢字符串值更改（POST 數據或 cookie），此頁面就會更改。例如，某個頁面的 URL 可能有一個名為“navmenuhide=”的參數。參數的值會確定是隱藏還是顯示頁面上的導航菜單。此參數可能會采用值 0 或 1。如果要僅掃描此頁面的一個版本，請在作業的“參數和 Cookie”頁面上插入“navmenuhide=”作為“參數和 Cookie 排除內容”。此方法可以有助于縮小掃描的范圍，以排除頁面僅會展現細微差異的重復內容。

靜態 URL

如果您站點上的 URL 不會更改，則掃描需要意識到這一事實，以便其可以使用替代方法來區分它們。無論站點是使用參數（查詢字符串或 POST 數據）還是 cookie 來區分不同的頁面，您都可以將它們識別為域的規范化規則的一部分。要對域配置規范化并使您的所有作業以相同方式識別此域中的頁面，請轉至作業的“掃描對象”頁面，然后單擊一個域編輯其屬性。

JavaScript? 和 Flash

當實施站點的初步掃描時，選中解析 JavaScript 以發現 URL 復選框。了解相應的選項后，確定 JavaScript 在站點上的使用程度和此 JavaScript 的復雜性。

如果站點上的 JavaScript 和 Flash 文件中有任何鏈接，請確保掃描可以找到它們。如果不能，則將它們添加到起始 URL，使用 XRule 模仿 Flash 邏輯。XRules 會添加到作業的“高級掃描選項 > XRule”頁面。

定制錯誤頁面

某些 Web 站點在遇到內部中斷鏈接時會使用定制 404 頁面來重定向瀏覽器。盡管它取決于這些類型的頁面是如何設置的，但是它們可能會從服務器產生 200 類型響應，掃描作業會將其理解為未中斷或“正常”。要減輕此誤報的嚴重程度，請標識這些定制錯誤頁面，以便掃描作業在遇到它們時會將其識別并報告為中斷鏈接。

使用“一般掃描選項 > 定制錯誤頁面”頁面告訴掃描作業將哪些頁面視為中斷。可以通過作業或“管理”選項卡設置定制錯誤頁面。

您可以通過在站點的瀏覽器中輸入不正確的 URL 來快速確定站點是否使用定制 404 頁面，并且查看它是產生具有唯一錯誤標題的頁面還是重定向到一個唯一的 URL。如果是使用定制 404 頁面，那么將所產生的頁面標題或 URL 添加到“定制錯誤頁面”頁面。

排除內容

識別可以從掃描中排除，或者至少從初步掃描中排除的任何鏈接，如執行下列操作的鏈接：

• 更改密碼
• 禁用帳戶
• 刪除項，特別是它不可撤消時
• 提供打印機友好格式的相同內容
• 指向充當 HTML 占位符的不存在的透明圖像，如 blank.gif 或 spacer.gif。通常，這些圖像在 Web 服務器上不存在并且可以排除，以除去報告中的雜亂內容。

購物車功能

總是排除從“添加到購物車”類型的應用程序產生的 URL 模式。如果每秒有多個線程點擊這些應用程序，則掃描可能會不適當地過度使用它們。對一個“添加到購物車”商品執行手動探索，以確保已對其進行測試。

使用“排除路徑和文件”頁面從掃描中排除站點的一部分。排除 regexp:.*addtocart.*。

日歷

日歷可將掃描置入無限循環中，方法是使其掃描日歷中每一年的每一天。請使用會話標識模式和排除來將此情況發生的概率最小化。

媒體文件

通常可以從掃描中排除諸如 .wmv 和 .mov 之類的大媒體文件。如果沒有將其排除，則它們會大幅增加掃描站點所需的時間。

使用“排除路徑和文件”頁面從掃描中排除站點的一部分。

按表中的行或列排序

如果頁面上的內容可以像包含可排序列的表一樣進行排序，請考慮排除各已排序頁面的 URL。例如，一個報告有兩個不同的 URL，但是內容相同 - 已更改的唯一內容是“漏洞”列的排序。如果不將 URL 從各已排序的頁面中排除，掃描作業將多次掃描相同的內容。使用“排除路徑和文件”頁面從掃描中排除站點的一部分。

登錄和分步應用程序

試圖忽略掃描登錄頁面時，需要考慮以下一些事項：

• 應用程序是否要求一次性登錄？使用“登錄管理”頁面來輸入用戶名和密碼，以便掃描可以為您登錄。
• 登錄頁面是否重定向到其他域？如果是，將其他域作為內部域添加到作業中。要將域作為內部域添加，請轉至“掃描對象”頁面，然后單擊添加域。
• 站點或應用程序的登錄或入口頁面是否由一系列分步表單組成？如果是，通過記錄的登錄順序開始內容掃描。使用“登錄管理”頁面記錄登錄順序。
• 站點是否使用會話標識？如果是這樣，那么可能需要添加會話標識作為掃描作業屬性的一部分。要設置會話標識，請轉至“參數和 Cookie”頁面。當配置為“參數和 Cookie 排除內容”時，會添加這些會話標識以將 URL 規范化。當配置為會話標識時，它們使掃描能夠在不被錯誤會話值中斷的情況下繼續掃描整個站點。
• 站點是否使用 cookie 進行登錄？僅在您將 cookie 設置為在您運行掃描之前自動登錄的情況下，忽略登錄掃描才可行。
• 在登錄表單后面是否有注銷鏈接？如果有，排除注銷鏈接，以便內容掃描不會跟隨此鏈接并自行注銷。注銷大多數時候為“注銷”按鈕形式。其他常見變量為“注銷”、“簽出”和“退出”。在已報告的某些情況下，特定 Web 頁面的鏈接可強制注銷用戶。如果注銷按鈕的所在位置或者會導致您從會話中注銷的條件不明顯，那么最好是與 Web 站點開發者聯系。

表單

一些表單包含值會更改的屬性。如果這些屬性在掃描之間更改，則掃描作業會考慮各更改以反映唯一的表單并且報告各更改的表單，這意味著報告結果會因重復表單而增多。要避免這一問題，請將規范化規則應用到所掃描的域。通過編輯域的屬性，可以從“掃描對象”頁面將掃描作業所找到的 URL 和表單規范化。

請自動為掃描提供公共表單的值，以便掃描可以繼續而不會中斷。例如，如果掃描作業在 Web 站點或應用程序上多次遇到某個表單，那么它需要在每次遇到該表單時向其提供內容。使用“自動表單填寫”頁面添加諸如國家或地區名稱等表單值，以便不必與每次出現的國家或地區名稱表單進行個人交互。