確定安裝中的服務器和域

服務器和域視為全局屬性。當您將“起始 URL”添加到內容掃描作業時，會自動將其域添加到“管理”選項卡上的“服務器和域”頁面。使用該域的任何作業都將會把相同的屬性和規則應用于它找到的 URL。

關于此任務

在此處的全局列表中創建其他的域，以便從報告角度將它們看作內部域。如果內容掃描作業遇到全局列表中的任何域，該域都會作為您組織負責的內部域出現在報告中。全局列表中的域決不會作為不屬于組織的外部域出現在報告中。通過創建這些類型的域，這些域會視為內部，從而防止報告中出現誤報。這些誤報可以影響儀表板和報告結果。

注： 全局列表可供“作業管理員”（通過“內容掃描”作業的“掃描對象”頁面）和“管理員”使用。全局列表允許他們從任何一個位置（一個作業，或是“管理”選項卡）以全局方式管理服務器和域。

過程

1. 轉至“管理”視圖的“服務器和域”頁面，然后單擊創建（）。
2. 在“創建域”頁面上，輸入新域的名稱并單擊創建。
3. 在“編輯域”頁面上，填寫適用部分（“域詳細信息”和“中斷期”）。
4. 單擊保存。

---

域的調度中斷期

如果您定期調度站點維護期，請使用中斷期來將內容掃描作業暫掛，這樣，在執行維護任務時，便不會對站點進行掃描。還可以在 Web 站點受到巨大的訪客流量時使用中斷期。如有必要，作業和系統管理員可調度并覆蓋中斷期。

開始之前

注：

1. 可將中斷期應用于在實例中配置的任何域。內容掃描作業僅將在作業內部的域上暫掛；它們不適用于與其鏈接的任何其他域。您必須將想要中斷的任何已鏈接域添加到“掃描內容 > 其他服務器和域”頁面，并將中斷調度應用到其中。
2. 您必須在作業從“管理”選項卡或特定內容掃描作業的配置頁面啟動之前，調度中斷期。作業將會在其遇到的第一個中斷的內部域中自動暫掛，并在中斷期后自動恢復。當您調度內部域的中斷期時，它會影響掃描該域的所有作業。
3. 如果您更改作業（該作業已暫掛或正在運行）內部的域的中斷期，那么在啟動新掃描之前，作業不會選取這些更改。
4. 在中斷期間，掃描作業不會自動恢復運行。
5. 如果手動覆蓋特定域的中斷期，則該域所屬于的作業的“全部”封鎖都會被忽略。

過程

1. 轉到內容掃描作業的“掃描對象”頁面。
2. 選擇以下選項之一并創建或添加域：
   • 起始 URL 中包含的域
   • 其他服務器和域
3. 在作業的“編輯域”頁面上，請單擊 Blackout Periods 部分中的添加圖標（）。
4. 選擇中斷期開始的時間和中斷持續時間（以分鐘計）。這些時間使用域的時區。
5. 選擇中斷期發生的頻率。
6. 選擇中斷期的發生。
7. 指定開始日期。可以打開中斷期，然后設置無限期保持有效（通過不指定結束日期），或設置為在特定日期和時間結束。
8. 選擇復選框，并按照提供的結束日期和時間指定中斷期的有效持續時間。如果不指定結束日期，那么調度便不會結束。
9. 單擊添加中斷期以將中斷期添加到全局列表。

---

配置缺陷跟蹤繼承

如果您使用 Rational Team Concert? 或 Rational? Quality Manager，那么可以配置缺陷跟蹤集成，以便能夠從報告或從掃描視圖將問題作為缺陷來提交。如果希望用戶從“監視器”視圖中的應用程序提交問題作為缺陷，請勿在“管理”視圖中配置 Rational Team Concert。相反，從“監視器”視圖配置集成。

關于此任務

必須在網絡中安裝缺陷跟蹤系統，然后才能完成此任務。請查看系統需求以了解受支持的版本。

過程

1. 轉至“管理”視圖。

2. 在“常規設置”頁面的“缺陷跟蹤系統集成”部分中，單擊編輯。

3. 在“缺陷跟蹤集成”頁面上，從列表中選擇跟蹤系統。

4. 輸入主機的基本 URL 和要偵聽的 HTTP/HTTPS 端口號。HTTP 端口缺省值通常為 80 或 9080。HTTPS 端口缺省值通常為 443 或 9443。

   注： 應通過有效證書來保護 AppScan? Server，但如果并非如此，那么您可以選中用于允許通過無效或不可信證書進行連接的復選框；但是，不建議這么做。另外，請確保使用有效的 SSL 證書來保護該服務器；否則，您的憑證和其他安全信息可能會被第三方截獲。

5. 使用您希望服務器用作登錄憑證的標識字符串或名稱填寫用戶和密碼字段。

6. 輸入缺陷跟蹤系統中缺陷將被分配到的項目區域的名稱，然后單擊測試連接。

7. 輸入缺陷跟蹤系統的屬性名和屬性值。

8. 單擊完成。

---

使用 AppScan Activity Recorder 捕獲流量和操作

AppScan Activity Recorder 插件擴展可在 Google Chrome 瀏覽器上執行 Web 應用程序安全測試時捕獲瀏覽活動。Activity Recorder 插件有助于自動記錄流量數據并生成輸出文件 *.dast.config，該文件可上載到 AppScan Enterprise 作業進行掃描。

您可以在 Chrome 瀏覽器上安裝 AppScan Activity Recorder。請按照安裝頁面上提供的指示信息使用擴展記錄流量。

---

捕獲并導入流量數據

流量數據捕獲方法

AppScan Enterprise 支持使用下表中列出的工具捕獲的流量或登錄序列數據。

將流量數據文件導入掃描作業

流量記錄工具（Manual Explore、AppScan Proxy Server、AppScan Activity Recorder 等）生成與登錄活動或應用程序探索活動數據相關的流量數據文件，稱為登錄序列文件和應用程序探索數據文件。這些文件可以導入到 AppScan Enterprise 中的掃描作業。

通過 UI 導入登錄序列文件

導入到 ADAC 掃描作業：

1. 在“掃描”視圖中，編輯要導入登錄序列文件的 ADAC 掃描作業。

   此時會出現 AppScan Dynamic Analysis Client 對話框。.

2. 單擊登錄管理。此時會顯示“登錄管理”頁面。

3. 單擊已記錄，然后單擊導入進行瀏覽，并選擇保存在文件系統中的登錄序列文件。

4. 請選擇要導入流量數據文件的掃描作業。文件導入進程取決于它是通過 ADAC 創建的掃描作業還是內容掃描作業。

5. 文件將上載到相應的掃描作業，并準備好進行分析。

導入到內容掃描作業：

1. 在“掃描”視圖中，編輯要導入登錄序列文件的內容掃描作業。此時會顯示掃描編輯頁。
2. 在探索菜單下，單擊登錄管理。
3. 在登錄方法頁面上，單擊已記錄（建議）。顯示記錄登錄序列頁面。
4. 單擊導入登錄序列文件進行瀏覽，并選擇保存在文件系統中的登錄序列文件。

通過 REST API 將登錄序列文件導入到掃描

導入到 ADAC 掃描作業：

1. 使用 API /jobs/{jobId}/dastconfig/updatetraffic/ 將記錄的登錄數據導入到 ADAC 掃描作業。

2. 將 action 參數輸入為 login。

   有關此 API 的詳細信息，請參閱 Appscan Enterprise 隨附的 Swagger 文檔。

導入到內容掃描作業：

使用 API /services/folderitems/<fiid>/recordedlogindata 將記錄的登錄數據導入到內容掃描作業。

有關此 API 的詳細信息，請參閱 Knowledge Center 上的“Upload Manual Explore data”主題。

通過 UI 導入手動探索（流量）數據文件

1. 在“掃描”視圖中，編輯流量文件要導入到的 ADAC 掃描作業。

   此時會出現 AppScan Dynamic Analysis Client 對話框。.

2. 單擊 Manual Explorer。

3. 單擊導入進行瀏覽，并選擇保存在文件系統中的流量文件。

導入到內容掃描作業：

1. 在“掃描”視圖中，編輯要導入流量文件的內容掃描作業。此時會顯示掃描編輯頁。
2. 在探索菜單下，單擊掃描內容。
3. 在“掃描內容”頁上，單擊手動探索。
4. 單擊添加。
5. 單擊瀏覽，以選擇保存在文件系統中的流量文件。

通過 REST API 將手動探索（流量）數據文件導入到掃描

導入到 ADAC 掃描作業：

使用 API /jobs/{jobId}/dastconfig/updatetraffic/ 將流量文件導入到 ADAC 掃描作業。

有關此 API 的詳細信息，請參閱 Appscan Enterprise 隨附的 API 文檔。

導入到內容掃描作業：

使用 API /services/folderitems/<fiid>/httptrafficdata 將手動探索數據導入到內容掃描作業。

有關此 API 的詳細信息，請參閱 Knowledge Center 上的“上載手動探索數據”主題。

---

為 AppScan Dynamic Analysis Client 配置代理

為 AppScan Dynamic Analysis Client 配置代理并測試連接。此代理用于從 AppScan Standard 導入 .scant 模板。導入 .scant 模板后，安全分析人員可將其用于創建 QuickScan 模板。

過程

1. 轉至管理 > Dynamic Analysis Client 代理。

2. 輸入代理地址并在必要時修改端口號。

   限制： 該端口號不能與 web.config 文件中存儲的連接代理內的端口號相同。

3. 如果代理服務器需要認證，請輸入用戶名和密碼。

4. 輸入用于測試代理連接的 URL，然后單擊測試連接。

5. 連接成功時，單擊保存。

---

使用 AppScan Activity Recorder 捕獲流量和操作

AppScan Activity Recorder 插件擴展可在 Google Chrome 瀏覽器上執行 Web 應用程序安全測試時捕獲瀏覽活動。Activity Recorder 插件有助于自動記錄流量數據并生成輸出文件 *.dast.config，該文件可上載到 AppScan Enterprise 作業進行掃描。

您可以在 Chrome 瀏覽器上安裝 AppScan Activity Recorder。請按照安裝頁面上提供的指示信息使用擴展記錄流量。

AppScan Enterprise 中的測試自動化使用AppScan Proxy Server

您可以借助 AppScan Proxy Server 記錄自己的流量，并在您的 ASE 作業中將其作為探索數據。

概述

本部分介紹了將動態掃描合并到功能測試中的情況。在 DevOps 領域中，能夠在功能測試過程中針對 Web 應用程序合并安全性掃描日趨重要。如果您使用自動化框架（例如 Selenium），則可以利用已編寫的腳本來創建定制掃描。從自動框架到 Web 應用程序的掃描將通過代理服務器代理來發送。服務器將記錄流量，并將其另存為 DAST 配置文件。然后，上載 ASE 使用的文件作為掃描的“瀏覽”數據。還可通過自動化服務器代理手動發送流量來創建 DAST 配置文件。

此圖描述了 automated scan flow with AppScan? Enterprise。

典型工作流程

1. 初始化（每臺服務器一次）：

   1. 安裝代理服務器
   2. [可選] 配置代理服務器
      1. 處理 SSL 警告（根證書）
      2. 不活動超時
      3. 鏈接代理
   3. 啟動代理服務器

2. 運行掃描：

   1. 根據配置在指定或隨機選擇的端口上開始代理偵聽（請參閱使用代理服務器）。

   2. 通過選定代理運行 Selenium 腳本（或其他功能測試），

      Or

      使用配置為通過選定代理進行工作的 Web 瀏覽器，手動瀏覽 Web 應用程序。

   3. 停止代理并保存流量記錄。

   4. 您可以借助 ASE REST API 更新現有 ASE 作業的探索數據。

注： 此工作流程的演示腳本 ProxyServerDemoScript.py 可在安裝文件夾中獲取。

安裝代理服務器

1. 下載 Node.js 的當前版本之一，并將其安裝到計算機上。

2. 復制 \WebApp\downloads\ 目錄下的 AppscanProxyServer.zip，然后解壓到您機器的某個文件夾下。

   注： 有關 AppscanProxyServer API 的文檔可通過以下途徑獲取 /apidocs/index.html

配置代理服務器

根證書

如果您的應用程序使用 SSL (HTTPS)，則代理必須作為中間人來記錄交流。對于這個代理服務器，必須擁有一個可用于簽署其與應用程序的通信的根證書。

缺省情況下，代理服務器會生成一個唯一的根證書，無需用戶介入。但是，在您進行如下任一操作的過程中，瀏覽應用程序時，會顯示 SSL 警告：

• 忽略警告。

• 在您的機器上安裝代理服務器生成的證書：

  1. 使用 REST API 可下載由 AppScan Proxy Server 使用的自簽署根認證中心作為 PEM 文件。
  2. 在用于“瀏覽”的瀏覽器上安裝證書，或在需要的位置（取決于流量的來源）進行安裝。

• 將您的根證書導入代理服務器。受支持的證書格式為 PKCS12（.P12、.PFX）、JKS：

  1. 打開命令行窗口，導航到代理服務器上的安裝文件夾。

  2. 運行下列命令：

     .\Java\jre\bin\java -jar DastProxy.jar -irc [path to certificate file] -ircp [password]

     注： 要查看所使用的全部命令，請運行：

     .\Java\jre\bin\java -jar DastProxy.jar

     重要信息：建議使用專用測試證書，因為證書保存在代理服務器上。

代理服務器不活動超時

如果在使用后未使用關閉命令關閉代理實例，則該代理實例將保持打開狀態并在端口上偵聽。如果代理實例閑置了預定義時間，則會自動關閉。代理實例的缺省不活動超時為 60 分鐘。您可以在保存在安裝文件夾中的 Settings.json 文件中更改此值。

要點：請勿對此文件下的任何其他設置進行更改。

鏈接代理

如果需要定義多個鏈接代理，或定義代理異常，請使用在安裝文件夾中找到的鏈接代理規則文件 (proxy.chain)。文件包含使用說明。

啟動代理服務器

要開啟 AppScan 代理服務器，請運行命令：

node app.js [port]

其中 *port = AppScan 代理服務器響應 REST API 請求的端口。

注： 如果您沒有定義該端口，則缺省會使用 8383 端口。

注： 建議永久運行 AppScan 代理服務器，不必停止運行。

使用代理服務器

代理服務器啟動后，您可以啟動代理實例，并將流量發送到應用程序。

1. 要查看 REST API 文檔，請在瀏覽器中輸入：http://localhost:。

   注： 要從不同的計算機查看，請輸入：http://:

   其中 *port = AppScan 代理服務器監聽的端口。

   *IP = 安裝了 AppScan 代理服務器的計算機的 IP 地址

2. 如果站點是安全的 (HTTPS)，通過執行以下操作來避免 SSL 警告：

   1. 使用 REST API 可下載由 AppScan Proxy Server 使用的自簽署根認證中心作為 PEM 文件。
   2. 在用于“探索”的瀏覽器上安裝證書，或在需要的位置（取決于流量的來源）進行安裝。

3. 要啟動代理實例，請使用 REST API 請求：StartProxy，并定義記錄端口（想要將流量發送到的端口）。

   注： 如果代理服務器沒有站點的直接訪問權，還可通過該 REST API 定義上游（已鏈接）代理。

   注： 如果需要定義多個鏈接代理，或定義代理異常，請使用在安裝文件夾中找到的鏈接代理規則文件 (proxy.chain)。

4. 通過已定義的記錄端口發送流量。

5. 完成后，發送 REST API 請求：StopProxy。

6. 下載包含記錄的流量的 DAST 配置文件 (.dast.config)，方法是發送以下 REST API 請求：Traffic。

   這是 ZIP 文件，其中包含一個或多個 .har（HTTP 存檔）文件。

   注： 下載 DAST 配置文件時，會從 AppScan 代理服務器刪除此數據。

7. 您可以借助 ASE REST API，使用 DAST 配置文件來更新現有作業的“探索”數據。

---

更新安全規則

確保您擁有最新版本的 AppScan? Enterprise（包括修訂包和 iFix）才能更新到最新的安全規則。您可以通過查看 AppScan Enterprise 主菜單中的“關于”鏈接來驗證安全規則的版本和發布日期。

關于此任務

在定期調度的維護期內更新安全規則。

過程

1. 轉至 HCL? FNO Web 站點。

2. 下載名為 AppScanEnterprise--RulesUpdate-.zip 的文件（例如 AppScanEnterprise-9.0.3.1-RulesUpdate-3193.zip），并將其保存在安裝 AppScan Enterprise Server 的計算機上。

   注： 請勿解壓縮文件。

3. 在 AppScan Enterprise 中，轉至管理 > 安全規則更新頁面，瀏覽至 AppScanEnterprise--RulesUpdate-.zip 文件，并單擊安裝。

   注： 確保您擁有最新版本的 AppScan Enterprise（包括修訂包和 iFix）才能更新到最新的安全規則。

結果

安全規則中問題類型將定期更改。如果您具有的掃描中的舊問題類型在安全規則更新之后不再存在，這些問題類型的問題將在更新之后消失，并將發現具有新問題類型的新問題。將必須再次對這些問題進行分類。