QuickScan 模板包含內容掃描作業，或者導入作業以及報告包。在“文件夾”列表的“模板”文件夾中創建掃描模板后，它們將作為掃描模板自動提供給 QuickScan 用戶或更高級的用戶，這些用戶已在“顯示文件夾瀏覽器”列表中打開了“QuickScan 視圖”。QuickScan 用戶創建掃描時，作業和報告包將基于此模板創建，但對于 QuickScan 用戶來說它們僅作為掃描出現。

關于此任務

在 v9.0.1.1 和較低版本中，安全團隊根據 AppScan Enterprise 作業選項為開發人員創建了 QuickScan 模板。雖然該方法允許為每個開發人員定制 QuickScan 模板，但這通常會在組織中產生不一致的掃描配置和結果。這是因為某些開發人員會比其他人訪問更多掃描配置選項。

從 v9.0.2 開始，您可以為開發人員創建用于創建一致掃描配置和結果的掃描模板。該新方法改進了開發人員（沒有太多安全知識）的配置體驗，并支持基于操作的登錄和手動探索。請參閱 使用 AppScan Standard 中的掃描屬性創建 QuickScan 模板。

過程

1. 轉至“文件夾”列表中模板文件夾，然后單擊主內容窗格中的創建圖標。

   注： 您可以限制某些用戶組可以使用的模板，方法是在模板文件夾中創建子文件夾，并將特定用戶角色指定到每個子文件夾：

   • 產品管理員 - 可以創建/編輯/刪除模板
   • 報告使用者/問題管理員 - 可使用模板
   • 報告管理員 - 可編輯模板中的報告包
   • 作業管理員 - 可以創建/編輯/刪除模板
   • QuickScan 用戶 - 只能使用為其授予了訪問權的模板
   • 無訪問權 - 無任何訪問權

2. 在“創建文件夾項”頁面，選擇您想要為模板創建的作業類型：內容掃描作業或導入作業。

3. 輸入模板的名稱和描述（可選）。盡量使名稱有意義。例如，如果您正在創建手動探索掃描，那么可以將模板命名為手動探索掃描。

4. 選擇如何生成報告包。缺省情況下，自動創建報告包復選框是選定的。將創建名稱與作業名稱相同的報告包，并以作業的屬性為基礎自動創建一組缺省報告。

5. 選擇創建方法。

   • 使用缺省屬性來創建帶有內置設置的作業。
   • 如果您已導出類似的作業，并且想要將其作為新作業的基礎，請使用設置文件。設置文件通過導出作業的屬性來創建

6. 單擊創建以創建作業。掃描模板的第一屬性頁面將打開，因此您可以繼續配置其屬性。

7. 在“登錄管理”頁面上，選擇您希望 QuickScan 用戶用于此模板的方法。

   注：

   • 已記錄：記錄供掃描使用的登錄序列。掃描將自動執行登錄，之后 QuickScan 用戶可以執行手動探索。
   • 自動。配置用于識別用戶名和密碼字段的正則表達式。啟發式 QuickScan 將使用這些表達式來識別登錄頁面；QuickScan 用戶在此模板中將不能夠使用其各自的用戶名或密碼。要包含“自動”登錄控件，在“登錄管理”頁面上所選擇的登錄方法必須為Automatic Login或None。
   • 無：QuickScan 用戶將在掃描設置期間配置登錄管理。

8. 繼續配置掃描的屬性。完成后，單擊模板配置。

9. 在“模板配置”頁面上，選擇想要添加到模板中的“QuickScan 控件”。

   注： 如果會話中檢測開啟，那么必須在模板中包含“會話中檢測”控件，以便 QuickScan 用戶在必要時可以編輯會話中模式。

10. 選擇您希望掃描使用的探索方法的類型：起始 URL、手動探索或 Web Service 探索。

    注： 用戶無法使用“起始 URL”選項手動探索應用程序。“手動探索”選項可提供探索 URL 的最廣泛的作用域。

11. 通過允許 QuickScan 用戶訪問高級掃描配置頁面，您可以為高級用戶提供更多靈活性，并限制新手用戶的靈活性。

    注： 對他們可以修改的部分掃描選項有一些限制。有關更多詳細信息，請參閱QuickScan 用戶。

12. 單擊保存。

    注： 如果您重命名模板，那么相應報告包將自動重命名。

配置無安全測試的基本掃描

使用該任務以最低配置來配置基本掃描。此掃描將在您的 Web 應用程序中自動發現更多要測試的 URL。對于具有許多靜態鏈接并不需要大量用戶交互的應用程序，請使用此方法。此掃描不會測試安全問題，但是可幫助您開始探索站點以確定完整站點覆蓋范圍。

過程

1. 將起始 URL 添加到“掃描對象”頁面。確保起始 URL 有效且其沒有重定向到所掃描域以外的其他域。

   Reasons for adding non-valid URLs：

   需要這樣做的原因可能如下：

   1. 如果從因特網斷開連接或尚未激活 Web 服務器。
   2. 如果您的起始 URL 實際上重定向到其他的域，那么請將第二個域添加到起始 URL 列表。例如，起始 URL www.example.com/support 實際上是重定向到 support.example.com 的。起始 URL列表必須同時包含 support.example.com 和 www.example.com/support。此外，即使 support.example.com 可能無效，但如果沒有將它添加為起始 URL，那么在這種情況下就不會對其進行掃描。
   3. 同樣，如果重定向到另一個目錄的起始 URL 包含內容，那么必須將這個目錄也添加為起始 URL。例如，如果重定向到 www.example.com/japan/products 的 www.example.com/products 內有頁面，那么需要將這二者都添加為要掃描的起始 URL。
   4. 如果想要掃描未包含在起始 URL 中的目錄，此外還幫助定義在起始域中，僅掃描各起始 URL 的目錄中和目錄下的鏈接復選框。例如，起始 URL www.example.com/products 是有效 URL，但 URL www.example.com/services 則不是。但是，您希望掃描兩個 URL 內的頁面而不掃描 Web 站點上的其他頁面。要達到此目的，請將這兩個 URL 都添加為起始 URL，然后在“掃描對象”頁面上，選擇在起始域中，僅掃描每個起始 URL 的目錄中或目錄下的鏈接復選框。

2. 確定您是否要在“起始 URL”中包括的目錄上進行掃描。如果您僅在其目錄中和目錄下進行掃描，那么掃描很可能過早停止，因為掃描只能查找在起始域中包括的 URL。要在起始 URL 上進行掃描，請清除“掃描對象”頁面上的在起始域中，僅掃描每個起始 URL 的目錄中和目錄下的鏈接復選框。

3. 如果站點分支到作為此掃描的一部分而必須訪問的其他域，那么將這些域添加到“掃描對象”頁面。

4. 指定環境，其在“環境定義”頁面上定義站點。這樣可以減少發送的測試總數，并能減少總體掃描時間。

5. 可能需要排除站點的特定區域。在“排除路徑和文件”頁面上，使用正則表達式來排除 URL 模式，例如 addtocart 功能。

6. 在“探索選項”頁面上：

   1. 將掃描限制到 500 個頁面。在初步掃描中，請務必保持較低的頁面限制，直到您已解決掃描過程中出現的所有問題為止。
   2. 選擇執行 Javascript 來發現 URL 和動態內容。這將確保在 JavaScript? 代碼內構建的任何 URL 均會在掃描過程中予以發現。如果站點包含 Flash，請選擇執行 Flash 以發現 URL 和潛在漏洞以發現更多 URL。
   3. 選擇瀏覽站點時要由掃描使用的用戶代理程序。有關更多詳細信息，請參閱用戶代理程序。

7. 因為這是對應用程序的基本掃描，所以您尚不會掃描安全問題。在“安全性”頁面上，禁用執行安全測試復選框，然后單擊保存。

8. 運行作業。對 Web 站點或應用程序的初始掃描總是迭代的過程，所以考慮將首次運行設為初步的運行。您可能將需要對掃描配置進行更改，以便從下一次的掃描中得到更好的結果。

9. 作業和報告包運行后，使用頁面報告來顏色掃描覆蓋率。

用戶代理程序

選擇供掃描在瀏覽站點時使用的用戶代理程序。

下表顯示為每個用戶代理程序發送的“用戶代理程序”頭。