從 AppScan? Standard 上載掃描模板可在 AppScan Enterprise 中使用相同的探索和測試階段配置。這將節省在 AppScan Standard 與 AppScan Enterprise 之間重新創建掃描配置上所花費的時間和工作量。

關于此任務

您應注意關于這些模板的一些限制：

1. 內容掃描作業的大部分常規作業屬性表將被禁用，因為此作業是使用外部創建的配置模板。以下屬性表可用：
   • 掃描對象：不會從導入的手動探索數據中抽取“自動表單填寫”字段，也不會對此數據顯示這些字段。此數據應該已包含在您導入的掃描模板中。
   • 安全
   • 日志設置
   • 代理程序服務器
   • 作業屬性
2. 如果在 AppScan Standard 中使用 Generic Service Client (GSC) 配置了掃描模板，那么此掃描模板將不包含 GSC 設置，因為這些設置未存儲在此掃描模板中。掃描將運行，并使用 Web service 作為其起始 URL。
3. 掃描模板不包含期望的響應，因此當您運行基于掃描模板的作業時，AppScan Enterprise 無法進行比較，因此不會在掃描日志中記錄關于期望響應的警告消息。掃描結果不會受到影響。
4. 如果使用客戶機端證書配置了掃描，那么 Dynamic Analysis Scanner 必須能夠訪問此證書的位置，否則配置將不能正確工作，并且某些站點可能不會進行探索或測試。
5. 如果在 Windows 2008、2008 R2 或 2012 上運行掃描并使用 Internet Explorer，那么有一個必須禁用的安全功能，否則掃描可能無法登錄到應用程序。確保產品管理員閱讀以下主題： 在 Windows Server 2008、2008 R2 和 2012 上啟用 Internet Explorer 增強的安全配置

過程

1. 瀏覽至您要在其中創建項的文件夾并單擊創建。

2. 在“創建文件夾項”頁面上，創建一個內容掃描作業。

3. 為項輸入名稱，并選擇性地輸入描述。

4. 報告包在創建作業時自動創建，并帶有基于作業屬性的一組缺省報告。如果不想在創建作業時自動創建報告包，那么請清空自動創建報告包復選框。

5. 選擇使用 AppScan Standard 掃描模板文件中的屬性進行創建作為創建方法，然后瀏覽到 *.scant 文件的文件位置。如果您沒有 AppScan Standard 副本，請單擊下載。在予以安裝并創建掃描模板之后，便可以在此處上載該掃描模板。

6. 要創建作業，請單擊創建。

   注： 如果在上載過程中出現任何問題，那么這些問題將在“創建的文件夾項”頁面中顯示為不受支持：

   • 特權升級已禁用。特權升級這一過程的具體操作是：引用使用不同用戶特權運行的掃描，以便測試特權資源是否可供訪問許可權不足的用戶進行訪問。
   • 交互式登錄已拒絕。如果在 AppScan Standard 中開啟了此選項，那么在向 AppScan Enterprise 進行上載的過程中將拒絕此登錄，因為它需要用戶交互。

7. 單擊完成。

8. 上載期間將忽略安全性測試策略。如果在掃描模板中啟用了安全性測試，請轉至作業的“安全性”頁面，選擇一個安全策略策略，單擊保存，然后運行掃描。

9. 可選： *上載掃描模板后，轉至掃描的“掃描內容”頁面以從 AppScan Standard 手動導入手動探索數據。此手動探索數據（.exd 文件）不包含在掃描模板文件中。

10. *可選： *如果您必須更改 AppScan Standard 中的掃描模板，那么可以導出此模板，然后通過單擊瀏覽重新上載此模塊來予以替換。

11. 運行掃描。

使用 AppScan Standard 中的掃描屬性創建高級掃描

作為安全團隊的一部分，您可以使用 AppScan Dynamic Analysis Client 創建高級掃描。

過程

1. 在監視器視圖中的應用程序選項卡中，單擊創建掃描。
2. 在創建掃描頁面中，選取文件夾。
3. 從模板列表選取常規掃描，并單擊創建。
4. 在 AppScan Dynamic Analysis Client 中，完成客戶機的屏幕。在作業屬性頁面上，提供作業名稱并選取“測試策略”。
5. 完成掃描的配置后，單擊創建作業。
6. 在 AppScan Enterprise 中，單擊完成。

使用 AppScan Standard 中的掃描屬性在“文件夾瀏覽器”中創建高級掃描

過程

1. 轉至想要創建掃描的文件夾，并單擊 （創建）。
2. 在創建文件夾項頁面上，選擇使用模板的作業。
3. 從步驟 3 繼續上述的步驟。

編輯開發人員的掃描

作為安全分析人員，您可能必須幫助開發人員編輯他們創建的基本掃描。在 AppScan Dynamic Analysis Client 中，您可以看到開發人員不能看到的掃描配置選項。

關于此任務

過程

1. 轉至“掃描”視圖。
2. 在相關文件夾中，單擊您想要編輯的掃描的編輯。
3. 在掃描的“設置”選項卡上，單擊編輯。
4. 在 AppScan Dynamic Analysis Client 的“開始”頁面上，選擇更新現有作業，轉至應用程序文件夾，并選擇掃描。
5. 進行修改并單擊更新作業。

基于結構 (DOM) 過濾類似頁面

“頁面結構 (DOM) 過濾”可通過識別與已掃描頁面足夠相似的頁面來極大地減少掃描時間，因為這樣就可忽略這些頁面。AppScan 將新頁面與已掃描的頁面進行比較以發現結構方面 (DOM) 的相似性，這指示新頁面不包含新鏈接或包含不需要更多測試的內容。例如，在商業站點上，可能有一個目錄，目錄中的各個頁面包含了數千個不同項但這些項在所有其他方面都是相同的。通常不需要掃描所有這些頁面。根據 DOM 相似性進行過濾可極大地減少掃描時間。

關于此任務

用戶角色：產品管理員、安全分析人員

過程

1. 對于“掃描”視圖中的現有掃描，轉至掃描的探索選項頁面，并確保啟用了基于結構 (DOM) 過濾類似頁面復選框。
2. 對于“監視器”視圖中的新掃描，
   1. 對于新掃描，啟動 AppScan Dynamic Analysis Client 并轉至“探索選項”屏幕。缺省情況下，兩個復選框均已選中。如果發現非重復頁面從掃描中被過濾掉，嘗試清除第二個復選框，或通過清除第一個復選框來禁用功能。
   2. 繼續配置掃描，然后單擊創建作業。
   3. 在 AppScan Enterprise 中，單擊完成。
3. 掃描運行之后，檢查掃描的進度選項卡以查看唯一的請求是否被錯誤地從掃描中過濾掉。查找掃描日志中的“CRWAD03010I：正在跳過 URL（已掃描類似 DOM）”。該消息指示因其結構與先前已探索頁面的結構類似而從掃描過濾掉的頁面，并可能不包含要測試的新元素。
4. 還可檢查掃描的結果頁面上的“已過濾鏈接”報告。查找“超過了類似內容限制”作為原因。如果發生該情況，嘗試 AppScan Dynamic Analysis Client 中基于結構 (DOM) 過濾類似頁面復選框的過濾更少頁面選項（這維護穩定的低級別過濾），或一起禁用 DOM 過濾。還可嘗試清除過濾根據結構 (DOM) 可能類似的頁面復選框，以免唯一的請求被錯誤地從掃描中過濾掉。

從 AppScan Dynamic Analysis Client 中的 AppScan Standard 轉換掃描配置

如果您具有基于 AppScan? Standard 中的掃描模板 (*.scant) 的現有內容掃描，那么可轉換掃描配置，以便可在 AppScan Dynamic Analysis Client 中直接進行編輯。但是，在轉換掃描配置后，可在 AppScan Standard 中再次將其打開。

過程

1. 從掃描視圖中的“文件夾資源管理器”，找到想要轉換的內容掃描作業，并單擊編輯。

   注： 內容掃描的文件擴展名必須為 *.scant。

2. 在作業屬性頁面上，單擊轉換為 AppScan Dynamic Analysis Client 掃描。掃描作業將關閉。

3. 回到“文件夾瀏覽器”中，單擊掃描作業的編輯鏈接，這將作為 QuickScan 作業打開。再次單擊編輯。

4. 在 AppScan Dynamic Analysis Client 中，修改配置，然后單擊更新作業。