連接 Web 服務器

定義掃描作業連接您網絡時的行為。

過程

1. 轉至內容掃描作業的“連接”頁面。

2. 設置要用于探索站點的線程數。

3. 一般，缺省“使用 Internet Explorer”代理設置就足夠。如果需要代理認證，請選擇使用定制代理設置。

   注：

   1. 如果代理服務器配置不當，那么可能會將外部鏈接甚至內部鏈接報告為中斷。
   2. 代理設置應用于“手動探索”瀏覽器。

4. 轉至“探索選項”頁面，修改在提出 HTTP 請求時掃描引擎本身顯示的“用戶代理程序”值。這是用于從 Web 分析報告過濾由內容掃描作業生成的流量。

5. 單擊保存。

代理設置以及該設置如何影響掃描

代理服務器位于客戶機應用程序與服務器之間。它攔截發送給實體服務器的所有請求以查看自己是否能實現這些請求。如果不能，它將把請求轉發給實體服務器。

要利用代理服務器功能，必須配置 Web 瀏覽器以顯式使用代理服務器。在“被代理”環境中，客戶機對因特網沒有直接訪問權。要訪問您意圖掃描的 Web 站點，請務必正確設置代理信息。不正確的代理設置可能導致鏈接被報告為中斷，而實際上鏈接此時在正常工作。如果您因為某些原因而不想或不需要使用 Internet Explorer 設置，請選擇代理服務器連接。

如果代理服務器配置不當，那么可能會將外部鏈接甚至內部鏈接報告為中斷。配置代理服務器包括指定以下內容：

• 服務器協議的地址，服務器協議是管理工作站和服務器之間的數據傳輸和接收的標準。
• 認證詳細信息意味著驗證登錄到計算機網絡的用戶的身份。
• 異常，如代理服務器引擎可能會忽略的 URL 或目錄

認證 Web 站點

當掃描作業遇到需要 Windows? NT? 認證的頁面時，它會自動提供您選擇的用戶名和密碼。可以為已認證頁面添加用戶名和密碼。客戶端證書指示掃描引擎和手動探索/記錄的登錄取決于特定客戶機證書文件還是認證待掃描服務器的服務帳戶的證書庫。

過程

1. 轉至內容掃描作業的“連接”頁面。
2. 選擇掃描頁面需要認證。
3. 設置認證所需的用戶名和密碼。
4. （可選）選擇客戶端認證如何工作：從服務帳戶用戶存儲還是從 .pfx 文件。
5. 單擊保存。

下一步做什么

自動填寫Web表單

---

識別定制錯誤頁面，以便掃描過程可以認出它們

在 web 站點上使用定制錯誤頁面以確保用戶遇到中斷鏈接時不會進入“死胡同”。相反，錯誤頁面會引導用戶前往另一頁面，如主頁。

關于此任務

要確保得到有效的報告結果，您必須配置 AppScan Enterprise 來認出這些頁面，以便在掃描作業遇到它們時，能夠將它們視作失效鏈接。當識別定制錯誤頁面時，您可以輸入頁面標題、頁面 URL，或是頁面上顯示的任何內容。所有三種方法都支持正則表達式。

過程

1. 轉至內容掃描作業的定制錯誤頁面。如果沒有在列表中看到所需的定制錯誤頁面，請單擊添加。

2. 在“創建定制錯誤”頁面上，選擇定制錯誤的類型并輸入 URL、頁面標題或頁面內容作為描述定制錯誤頁面的文本或正則表達式。在正則表達式前面添加 regexp:，單擊創建。

   注： 搜索不區分大小寫。

定制錯誤頁面的類型

有三種類型的定制錯誤頁面：頁面標題、頁面 URL 和頁面內容。

所選擇的定制錯誤頁面的類型取決于服務器所使用的方法：

• 當服務器不會將訪問者重定向到其他 URL 時，選擇頁面標題。
• 當服務器將訪問者重定向到自身具有 URL 的定制錯誤頁面時，選擇頁面 URL。
• 當需要搜索頁面的特定文本以確定它是否為定制錯誤頁面時，選擇頁面內容。搜索包括 HTML 和頁面上的文本。

全部三種類型都支持正則表達式。

注： 一些中斷鏈接可以重定向到“定制錯誤”頁面。此做法通常由在遇到中斷鏈接時想要向用戶顯示個性化說明的 Web 站點使用。由于此定制錯誤頁面是實際的有效頁面，因此在請求此頁面時，掃描不會收到 404（中斷）HTTP 返回碼。而是會獲取 200（正常）返回碼，因為掃描認為頁面完好。

定制錯誤頁面上的表達式規則

以下規則適用：

• 頁面 URL 和頁面標題定制錯誤頁面從 URL 或標題的開頭起，在所輸入的字符數量上匹配。如果實際的頁面 URL 或頁面標題為同一長度或長于所輸入的值，則所輸入的值不必是精確的。例如，選項 http://www.example.com/redirect.htm?404.htm 將與以下定制錯誤頁面 URL 匹配：http://www.examplecom/redirect.htm?404.htm;http://www.example.com/directory/bad_url.htm。不過，值 The Official MyCompany.com website 將與頁面標題 The Official MyCompany website 不匹配。
• 對于頁面標題、頁面 URL 或頁面內容定制錯誤，不能使用 DOS 模式。

配置隱私聲明鏈接掃描

重要的是，Web 站點訪客可以容易地確定 Web 站點要求信息時將如何使用數據。Web 站點的隱私策略將描述收集數據的原因，將獲取數據訪問權的人員以及 Web 站點訪問者在該數據提交后對其具有的權限類型。當用戶需要時，向他們提供信息的最佳方式是提供一個鏈接，從包含收集個人信息的表單的頁面指向管理該數據的隱私策略。

關于此任務

要掃描隱私聲明鏈接，請創建特定 XRule 并將“收集 PII 的頁面（不包含隱私聲明鏈接）”報告添加到報告包。

過程

1. 轉至管理 > XRule > 創建 XRule。
2. 在“創建 XRule”頁面上，為 XRule 提供有意義的名稱。
3. 選擇搜索頁面中的鏈接規則類型。
4. 選擇顯示文本復選框，輸入向用戶顯示的文本，如“隱私”。
5. 保持選中僅在作業或報告需要時啟用 XRule 選項。
6. 選擇該規則定義隱私聲明鏈接復選框并單擊創建 XRule。
7. 將收集 PII 的頁面（不包含隱私聲明鏈接）報告添加到適用的報告包。
8. 運行包含新 XRule 的內容掃描作業，然后運行報告包。
9. 運行隱私儀表板。

手動探索站點來將更多 URL 添加到掃描

手動探索意味著您將在配置中指示要測試的掃描的準確 URL（掃描將不會自動搜索發現新的 URL）。對于需要大量用戶交互以瀏覽應用程序的 Web 應用程序或者如果您只想測試應用程序的特定區域，請使用該方法。

開始之前

Get ready：

1. 在執行手動探索前，請確保已將 Internet Explorer 的“因特網高級選項”設置為使用 HTTP 1.1。
2. 如果是在本地機器上手動探索應用程序，那么必須確保手動探索瀏覽器中使用的主機名不同于用來訪問 Enterprise Console 的主機名。否則，掃描可能無法訪問 URL。例如，如果您使用 https://server1/ase 來訪問 Enterprise Console，那么請在手動探索時使用 https://server1.domain.com/ase。

關于此任務

如果出現下列情況，請手動探索站點：

• 在不知道精確 URL 的情況下將頁面添加到“起始 URL”列表。
• 想要添加由于掃描遺漏而未自動發現的頁面（例如，非標準 js 向后發布為鏈接、嵌入式 js 或 Flash 鏈接）。
• 想要添加出于其他原因而未自動發現的頁面（例如，孤立頁面）。

還可將“手動探索”與 web 站點的自動爬行結合使用。在該情況下，掃描將測試您手動訪問的所有頁面以及 AppScan Enterprise 自動發現的那些頁面。缺省情況下，AppScan Enterprise 包含自動探索，但可使用以下某種方法將其關閉：

• 對于“掃描”視圖中的內容掃描作業，轉至“探索選項”頁面。在掃描限制部分中，選擇指定 URL 限制（在起始 URL、“手動探索”和“已記錄登錄”屬性中指定的 URL。不搜尋）。
• 對于基于 *.scant 模板的掃描，轉至 AppScan Dynamic Analysis Client 中的“作業屬性”頁面。在掃描部分中，選擇僅測試。

有時候您可能僅想要測試一些頁面；例如，當前是否正在開發這些頁面，或者它們是否包含未修正的問題。使用帶有上述某個選項的“手動探索”可運行小型的隔離掃描。在其他情況下，可能想要掃描整個站點。可將“手動探索”與“自動探索”選項結合使用來確保訪問所有頁面以實現全面的覆蓋范圍。在這些實例中，使用缺省選項。

警告： 請勿在掃描配置中使用任何私密信息，因為此數據可能會被第三方查看。要繼續進行瀏覽器記錄，請確保您已從任何現有會話注銷。在手動瀏覽過程中使用測試用戶帳戶以避免用戶名和密碼以明文形式顯示在 Enterprise Console 界面上。

過程

1. 在作業的“掃描內容”頁面的“手動探索”部分中，單擊添加圖標（）。

2. 在“手動探索”頁面上，選擇使用 Manual Explorer 工具或 AppScan Standard 探索數據文件。

3. 下載并安裝該工具。

   注：

   • 托管 Manual Explorer 工具的機器還必須支持 FIPS，以便此工具正常運行。
   • 如果您要使用 Microsoft? Windows? 2008 Server（帶有或不帶 R2），那么在嘗試安裝此工具時可能會遇到以下錯誤消息：“系統管理員已設置策略來阻止此安裝”。服務器上設置的組策略不允許常規用戶執行安裝。請要求系統管理員為您更改組策略或安裝該工具。

4. 要啟動 Manual Explorer，請轉至開始菜單 > HCL AppScan Manual Explorer 或桌面圖標。

5. 單擊文件 > 首選項并配置記錄工具的設置：

   • 瀏覽器

     注：

     1. Internet Explorer/Google Chrome：如果在您進行記錄之前瀏覽器的任何實例在運行，請將其關閉，包括在運行 AppScan? Enterprise 的實例。完成記錄時，可以重新打開瀏覽器。
     2. Mozilla Firefox：
        • 如果 AppScan Enterprise 在使用系統代理并且您嘗試通過 Internet Explorer 或 Google Chrome 進行記錄，請關閉 Firefox 瀏覽器，執行記錄，然后重新打開 Firefox 瀏覽器。
        • 如果您是首次使用 Firefox 來通過 Manual Explorer 記錄流量數據，請確保關閉所有打開的 Firefox 瀏覽器實例。

   • 無效證書連接

   • 首選代理端口。在記錄期間，如果此端口在使用中，那么將改用另一個端口并將在此處進行指示。

   • 跟蹤日志級別

6. 單擊 AppScan Manual Explorer 工具上的記錄并瀏覽應用程序。

   注： 如果探索 https:// 站點，那么您可能會收到有關證書無效的錯誤消息。這在 Manual Explorer 工具上是無效證書，在 Web 站點上則不是；請接受該證書。

7. 在完成對站點的瀏覽之后，保存此文件并關閉 Manual Explorer 工具。

8. 在內容掃描作業的“手動探索”頁面上，導入 *.htd 文件，關閉窗口，然后單擊保存以將 URL 添加到掃描。

9. 在“手動探索的 URL”頁面上，復審發現的 URL 的列表。

10. 從手動探索的 URL 列表中選擇您想要除去的 URL，然后單擊除去。

11. 從手動探索的其他域列表中選擇您想要除去的域，單擊除去；然后單擊保存。

    注： 如果在完成編輯之前意外單擊了保存，您仍然可以在“掃描對象”頁面中進行編輯。

12. 在手動探索的自動表單填充字段頁面上，復審手動探索期間發現的“自動表單填寫字段”，除去您不想包含在掃描中的任何字段，然后單擊保存。

13. （可選）如果希望掃描按排列的順序測試 URL，請選中“掃描對象”頁面的手動探索部分中的復選框。在只能通過以特定順序（多步操作）發送請求來訪問您 Web 應用程序的部分時，選擇此選項。掃描在發送測試之前，將按您記錄 URL 的順序來回放這些 URL。

    注：

    Web 應用程序的某些部分（例如購物車或申請銀行帳戶）只能通過以特定順序發送請求來訪問。您可以配置掃描以按順序回放這些 URL。在此示例中，用戶在線購物并訪問在線購物車應用程序中的三個頁面：

    • 頁面 A：添加一項或多項商品到購物車。
    • 頁面 B：填寫付款和裝運詳細信息。
    • 頁面 C：接收訂單已完成的確認。

    頁面 B 只能從頁面 A 訪問，頁面 C 只能從頁面 A 然后經頁面 B 訪問。在手動探索期間，會記錄單一順序：頁面 A > 頁面 B > 頁面 C。要測試頁面 C，掃描必須在每次測試之前發送正確順序的 HTTP 請求。當測試頁面 B 時，掃描將首先發送頁面 A 請求；當測試頁面 C 時，它將發送頁面 A 請求，然后再發送頁面 B 請求。

    1. 掃描發送 A，對 B 執行測試 1
    2. 掃描發送 A，對 B 執行測試 2
    3. 掃描發送 A、B，對 C 執行測試 1
    4. 掃描發送 A、B，對 C 執行測試 2

    由于多步操作的性質，掃描性能可能緩慢，因為多步請求是以單線程方式發送的。

Manual Explorer 工具如何工作

Manual Explorer 工具使用內部代理服務器，它會記錄經過此代理的 HTTP/HTTPS 流量。從 Manual Explorer 工具啟動瀏覽器時，該瀏覽器的代理信息會更新，以便來自瀏覽器的所有流量都經過該工具的代理服務器。關閉記錄會話后，會復原記錄瀏覽器的原始代理設置。請勿在記錄會話正在進行時更改瀏覽器代理設置，并且不要瀏覽至 Manual Explorer 工具中的其他 Web 站點，因為該流量也將被記錄并會在掃描數據中導致問題。在記錄會話結束時，您將數據保存到 HTTP 流量文件，此文件用于在 Enterprise Console 上配置掃描。此文件的格式與 QuickScans、所記錄的登錄以及瀏覽數據兼容。

遵循手動探索站點來將更多 URL 添加到掃描。對于需要大量用戶交互以瀏覽應用程序的 Web 應用程序或者如果您只想測試應用程序的特定區域，請使用該方法。”)中的指示信息來下載和安裝工具。

注： Manual Explorer 工具符合 NIST。有關詳細信息， 是美國聯邦技術部門，它與業界協作以創立并應用技術、度量和標準。AppScan 可以將 Enterprise Server 配置為使用各種安全標準以滿足美國政府所要求的安全需求。”)。

當瀏覽器未配置為使用代理時

圖 1(a) 顯示瀏覽器未配置為使用任何代理設置時的典型場景。圖 1(b) 顯示在從 Manual Explorer 工具啟動該瀏覽器時瀏覽器行為如何變化。該工具將瀏覽器的代理設置更改為內部代理服務器的缺省配置 127.0.0.1:9999。關閉瀏覽器后，代理設置還原為先前瀏覽器設置（在此情況下，無代理設置）。

當瀏覽器已配置為使用代理設置時

圖 2(a) 顯示瀏覽器具有連接到因特網的現有代理設置時的典型場景。此處，proxyhost 是指瀏覽器的已配置的代理服務器地址。從 Manual Explorer 工具啟動瀏覽器時，該工具收集現有代理信息。Manual Explorer 工具使用此原始代理設置 (Proxyhost:port) 連接到因特網，如圖 2(b) 中所示。接下來，它針對記錄會話將瀏覽器代理設置替換為其自己的代理設置 (127.0.0.1)。關閉瀏覽器后，其代理設置還原為原始值（在此情況下，Proxyhost:port）。

使用 Manual Explorer 工具記錄 QA 自動化測試腳本

在 Web 應用程序的 QA 測試環境中，通常通過在分布式服務器上使用多個瀏覽器實例來運行數千個瀏覽器交互自動測試用例。使用 AppScan? Manual Explore Server，您可以記錄這些用于安全測試的自動任務所生成的流量。

關于此任務

此過程幫助您使用由用于功能測試的腳本所生成的 HTTP 流量，從而免去為記錄 AppScan 腳本而需完成的額外工作。您可以在組織內設置任意所需數量的 Manual Explore Server，然后使用 REST API 來自動記錄從測試用例流向測試服務器的數據，并自動將這些數據作為 .htd 文件發送到 AppScan Enterprise 以配置為掃描。在本場景中，您下載 Manual Explorer 工具，并使用命令行界面來設置 Manual Explore Server。

注：

1. *.htd 文件的最大文件大小是 20 MB。如果您已超過了此限制，請通過記錄更小的序列以將文件拆分為更小的區塊。
2. 為了方便起見，以下腳本可供您用來自動捕獲 HTTP 流量并自動創建可使用所捕獲的 HTTP 流量的掃描作業：recordTraffic.zip。（如果文件無法下載，請右鍵單擊鏈接并將文件保存到硬盤驅動器。）

過程

1. 下載 Manual Explorer 工具并設置 Manual Explore Server：

   1. 在作業的“掃描內容”頁面的“手動探索”部分中，單擊添加圖標（）。

   2. 在“手動探索”頁面上，選擇使用 Manual Explorer 工具或 AppScan Standard 探索數據文件。

   3. 下載并安裝該工具。

      通常安裝在 \HCL\AppScan Manual Explorer。

   4. 在服務器上運行命令行提示，將目錄更改為 \HCL\AppScan Manual Explorer，然后輸入：manualexploreserver.exe -host <host_name_ip> -recordingsDir <recordings_dir>。

      提示： 使用 -help 標志可查看所有可用的命令行選項。

2. 在您選擇的端口上開始記錄會話：

   1. 在瀏覽器中的，轉到 http://:9999/start?port=。記錄端口號是記錄的標識。

      例如，http://myVM:9999/start?port=1111。“1111”是記錄會話的標識。

      注： 確保發出控制命令的瀏覽器未使用 Manual Explorer Server 作為代理；否則，控制命令將添加到記錄。

   2. 將自動化或用于回放的瀏覽器設置為使用 : 作為代理。

   3. 運行包含您的 QA 測試用例的自動化。

   注： 在自動化過程中，您可以配置步驟 a 和 b。

3. 要停止記錄會話，請執行以下操作：

   1. 在自動測試用例完成后，通過在瀏覽器中輸入以下 URL 來停止 Manual Explorer 記錄：http://:9999/stop?port=&fileName=. 如果指定 fileName 參數，那么記錄期間所收集的數據將以 HTD 格式保存。文件路徑為 <recordingDataFile>.htd。如果您不使用文件名，那么記錄將在不保存文件的情況下停止。
   2. 如果您完成了流量數據的捕獲，請輸入 quit 以結束此過程。

4. 在 AppScan Enterprise 中，請確保

   1. 設置電子郵件通知。確保配置電子郵件的 SMTP 服務器。請參閱配置 Enterprise Console，并確保已將個人電子郵件通知設置為接收警報。。
   2. 創建掃描以僅測試“手動探索”模板（在“探索選項”頁面上）中的指定 URL。
   3. 為由自動腳本生成的報告包的“安全問題”報告設置警報。報告包是可以按您選擇的任何條件（web 應用程序、開發者或業務單位）組織的報告的集合。通過添加警報，您可以控制當狀態更改時，您會收到通知的事件。”)。
   4. 從 URL 記下剛創建的作業的 folderID。例如：https:///ase/FolderExplorer.aspx?fid=8)

5. ASECMD 實用程序存儲在用于存儲 ManualExploreServer 命令行的同一文件夾中。通過此實用程序，可以輕松構建一個使用步驟 4 中所創建模板將記錄的流量文件發布到 AppScan Enterprise 的命令。掃描將創建在您在步驟 4 中創建掃描作業的文件夾中。

   1. 打開命令行提示符并瀏覽至 AppScan Manual Explorer 工具所在的文件夾。

   2. 鍵入此命令以創建掃描： ASECMD -aseUrl https:///ase/ -jobTemplateId 1 -htdFile \qaserver\recordings\rec1.htd

      注： 如果不指定用戶名和密碼，那么命令行實用程序將使用當前用戶帳戶進行認證。

6. *可選： *要查看 ASECMD 實用程序的可用命令行提示，打開命令行提示，并調用 asecmd.exe。窗口中將顯示使用情況詳細信息。

7. 在 AppScan Enterprise Server 的 Enterprise Console 中查看結果。

Manual Explore Server 的命令行提示

使用這些命令行提示符可創建用于捕獲交通數據的自動化測試腳本。

---

將靜態分析數據與動態分析數據相關

從 AppScan? Source 導入數據以將其結果與現有動態分析安全掃描相關聯（AppScan Enterprise Server 內容掃描作業或 AppScan Standard 導入作業）。

關于此任務

您必須具有對 AppScan Source OZASMT 評估文件的訪問權。

注： 從 AppScan Source 導入評估文件時，如果結果僅在跟蹤方面不同，那么 AppScan Enterprise Server 會將這些結果合并為具有多個變體的單個問題。請參閱作業統計信息頁面以獲取更多信息。

過程

1. 轉至“文件夾內容摘要”頁面，然后單擊創建圖標（）。
2. 在“創建文件夾項”頁面上，選擇“導入作業”，并為其提供名稱和描述。將其與列表中的應用程序關聯。關聯的作業將顯示在“應用程序”選項卡中應用程序的“掃描”視圖內。然后，單擊創建。
3. 在“導入對象”頁面上，選擇“AppScan Source 結果導入”（從 AppScan Source 導出的 OZASMT 文件）。
4. 選擇現有內容掃描作業或 AppScan Standard 導入作業。
5. 在此頁面的“安全漏洞關聯”部分中，選中啟用關聯復選框，并單擊選擇作業。
6. 在“安全漏洞關聯”頁面，選擇現有內容掃描作業或導入作業并單擊選擇。
7. 返回“導入內容”頁面，單擊“保存”，然后運行作業。

相關（混合分析）的工作方式

沒有任何一種自動化分析技術可發現所有可能的漏洞；每種技術都有其自己的優點和弱點。動態分析安全測試 (DAST) 通過與黑客所使用的類似方法探測應用程序來測試正在運行的 Web 應用程序。靜態分析安全測試 (SAST) 檢查應用程序的源代碼以發現可能的漏洞。

該圖說明了每種技術可發現的漏洞的類型，以及它們之間為了實現相關而重合的地方。較大的綠色圓環指示 DAST、SAST 和手動測試可發現的所有潛在安全問題。

通過動態分析，更易于查看較大的范圍，從而將漏洞與潛在利用聯系起來。DAST 說明了應用程序中由其發送的測試可利用的區域；它將自動遍歷應用程序并使用 HTTP 篡改來測試可能的輸入（發送請求并接收瀏覽器中返回的響應）。但是，在動態分析中，安全分析人員將始終詢問“我的測試覆蓋范圍是否正確？”DAST 面臨的挑戰在于查找所有頁面和內容的路徑，并覆蓋所有攻擊向量。

靜態分析檢查通過源代碼的數據流，并可較早地在開發周期中使用，因為您無需處于運行狀態的 Web 應用程序。而 DAST 僅限于查看通過 HTTP 傳送的數據流，SAST 可查看后端中動態分析不可見的多個數據流，例如后端網絡通信、文件系統訪問等。因此，SAST 比 DAST 能找出更多問題，但并非所有這些問題對于組織都有較高的優先級，因為 SAST 的發現結果通常被解釋為違反了安全編碼最佳實踐，而不一定是“利用的證據”。通過過濾可移除在組織的安全策略下不是特別嚴重的問題。SAST 面臨的挑戰在于劃分問題的優先級。

DAST 查找從網絡基礎結構到 Web 服務器級別的所有內容。SAST 僅直接查看 Web 應用程序。

混合分析的挑戰

混合分析（也稱為相關）合并了DAST 與 SAST，從而使結果相關并驗證結果。使用動態分析確定的問題可追溯至代碼中有問題的行。可使用 DAST 信息自動為 SAST 問題劃分優先級。

混合分析所面臨的挑戰是 DAST 依賴于數據反射回瀏覽器中，因此如果 SAST 數據流未作為 DAST 問題反射回瀏覽器中，那么它將不會出現在 AppScan? Enterprise 的“相關安全問題”報告中。

下圖描述了該挑戰。該 DAST 圖顯示了 SQL 注入作為來自用戶角度的一個數據流。惡意代碼被輸入到 Web 頁面中的用戶名/密碼字段內，并且一條錯誤消息顯示在瀏覽器中。

在該 SAST 圖中，從后端的視角出發，同一 SQL 注入攻擊實際上是三個數據流。