使用 AppScan Enterprise 中的掃描屬性配置安全掃描

應在預生產環境中（如登臺服務器或“質量保證”服務器上）執行安全掃描。這樣做有助于包含與執行安全掃描相關聯的風險。預生成環境應該盡可能反映生產環境；應用程序在兩個環境中應該具有相同的可執行文件，以便您知道在徹底測試暴露的應用程序。安全掃描還應該集成到軟件開發生命周期 (SDLC) 過程中，以便可以在安全問題進入生產環境之前將其捕獲。

開始之前

1. 確保應用程序在開發或測試環境中。
2. 與應用程序的所有者（開發者或 QA）建立時間窗口以掃描應用程序。在用 AppScan? Enterprise Server 對應用程序掃描的時間段內，應用程序必須已啟動并保持平穩運行狀態。在掃描期間不應對應用程序進行任何更改。
3. 在最前面決定要執行手動探索還是自動搜索：
   • 手動探索意味著您將在配置中指示要測試的掃描的準確 URL（掃描將不會自動搜索發現新的 URL）。對于需要大量用戶交互以瀏覽應用程序的 Web 應用程序或者如果您只想測試應用程序的特定區域，請使用該方法。
   • 自動搜尋意味著會為您配置掃描來自動發現要在 Web 應用程序中測試的更多 URL。對于具有許多靜態鏈接并不需要大量用戶交互的應用程序，請使用此方法。

過程

1. 在“掃描對象”頁面上，輸入應用程序的起始 URL，然后單擊添加。添加起始 URL 時請注意“狀態”列。如果有綠色復選標記，那么 AppScan Enterprise Server 可以訪問 Web 應用程序。但如果看到警告，那么可能表示您需要輸入代理設置或其他認證才能使 AppScan Enterprise Server 可訪問 Web 應用程序。單擊重新測試。

2. 如果 Web 應用程序需要特定代理設置或附加認證，請轉至作業屬性中的“連接”頁面，選擇代理 > 使用定制代理設置，然后輸入代理設置。

3. 如果 Web 應用程序需要其他的平臺認證，請在“平臺認證”部分中選擇掃描需要認證的頁面，輸入用戶名和密碼，或者選擇服務帳戶選項。

4. 如果 Web 應用程序包含 HTML 登錄，請轉至“登錄管理”頁面以記錄登錄。單擊已記錄 > 記錄登錄。

   1. Web 應用程序將在記錄瀏覽器中啟動。模擬登錄并關閉瀏覽器窗口。

   2. 記錄登錄并關閉彈出窗口后，登錄期間遇到的 URL 將列在“登錄順序 URL”頁面中。單擊保存以保存順序。這些 URL 應列在“登錄管理”頁面上。

   3. 從列表中選擇 URL，然后單擊“查看 HTTP 請求”圖標。

      注： 這將向您顯示為該 URL 記錄的完整 HTTP 請求。查找在 HTTP 請求中發送的 cookie。這些 cookie 在“Cookie”行中標識。為了在掃描期間成功進行安全測試，必須確定 Web 應用程序使用的所有會話 cookie。通過查看記錄的登錄 HTTP 請求中的這一行，可以了解 Web 應用程序的會話 cookie 名稱。該行中的 cookie 并非都是會話 cookie。有時，您可能需要咨詢 Web 應用程序的開發者。會話 cookie 通常包含“會話”或“標識”，但是在有些情況下，并沒有包含。缺省情況下，AppScan Enterprise 將自動識別許多會話 cookie 名稱。

5. 如果您識別了 AppScan Enterprise 已遺漏的任何會話 cookie 名稱，那么必須在掃描中配置這些會話 cookie 名稱。有兩種方法來添加 AppScan Enterprise 已遺漏的 cookie。轉至“參數和 Cookie”頁面：

   1. 選擇要跟蹤的 cookie 或參數并單擊“編輯參數和 Cookie”頁面上的“跟蹤”按鈕。
   2. 單擊添加。將“Cookie”選為類型。可以輸入全名或正則表達式作為名稱。選擇 會話標識：掃描過程中跟蹤此參數 。AppScan 掃描期間，Enterprise Server 將跟蹤此會話 cookie 并在需要時更新值。單擊完成。

6. 如果您有其他任何需要予以填寫以配置掃描的表單，請轉至“掃描對象”頁面。在“手動探索”部分中，單擊添加現有項以啟動手動探索。如果希望將掃描限制為手動探索，您還可以使用手動探索來手動選擇 URL。Web 應用程序將在單獨瀏覽器窗口中啟動。在此窗口中模擬任何手動導航或表單填寫，然后關閉窗口并保存表單結果。

   注： 可以使用手動瀏覽執行以下操作：

   • 記錄 AppScan Enterprise Server 自動搜尋器不會處理的任何其他功能；例如，表單填寫或用戶交互
   • 將掃描限制為僅掃描您已記錄的那些 URL 和功能并且不讓 AppScan Enterprise Server 執行自動搜尋

7. 在“掃描對象”頁面上，向下滾動到“其他服務器和域”列表。復審此列表，如果存在您不希望自動搜尋器在掃描期間瀏覽的其他域，請將其除去。

   注： 如果有域不包含在與您的測試策略相關聯的“服務器組”中，將不對這些域進行測試。單擊“安全性”頁面上的顯示測試策略詳細信息以查看適用于所選測試策略的服務器組和 URL 或 IP 地址。沒有指示表明不測試未授權的 URL，除非那些域在基于此作業的任何報告中都沒有結果。請確保起始 URL 包含在與所選的測試策略相關聯的服務器組中。

8. 在“安全性”頁面上，輸入安全測試選項：

   • 如果要執行靜態 JavaScript? 分析以檢測一系列客戶機端問題（主要是基于 DOM 的跨站點腳本編制），請保持 JavaScript Analyzer 復選框處于選中狀態。請參閱 JavaScript 源代碼分析的工作方式。

   • 如果要掃描的 Web 應用程序在多次登錄嘗試失敗后將鎖定用戶，請清除包含對登錄和注銷頁面的測試復選框。這將避免 AppScan Enterprise Server 在掃描期間被鎖定。

   • 選擇安全測試策略。

     注： 您只能選擇基于已由產品管理員分配給您的測試策略的測試。如果您未創建此作業，那么它只能執行與創建該作業的“作業管理員”相關聯的測試。但是，您可以通過獲取作業的所有權（作業的“作業屬性”頁面）來更改您可用的測試策略以及其可以執行的測試。

9. 轉至“探索選項”頁面：

   1. 如果希望掃描執行自動掃描和查找其他 URL，請選擇不應用頁面限制。
   2. 如果要掃描僅瀏覽和測試已記錄的登錄和手動探索，請選擇指定的 URL 限制。
   3. 如果您要執行自動搜尋，并且 Web 應用程序使用 JavaScript 來動態構建 URL，請選擇執行 JavaScript 以發現 URL 和動態內容。

10. 單擊保存以保存選項并退出作業屬性。