阶段 1:探索
探索阶段可以在自动扫描中自动运行,也可以由用户手动运行,或者将两者结合。
在第一个阶段,从您配置的 URL 开始,AppScan 360° 通过模拟 Web 用户单击链接并填写表单字段来爬取您的应用程序,从而建立对应用程序结构的理解
AppScan 360° 会分析对每个探索请求的响应,查找潜在漏洞的任何指示信息。AppScan 360° 接收到可能指示有安全漏洞的响应时,它将基于响应创建一个或多个测试,并通知所需验证规则,同时考虑在确定哪些结果构成漏洞以及所涉及到安全风险的级别时所需的验证规则。
在发送已创建的特定于站点的测试之前,AppScan 360° 将向应用程序发送若干格式不正确的请求,以确定其生成错误响应的方式。之后,此信息将用于增加 AppScan 360° 的自动测试验证过程的精确性。
在典型的扫描中,将自动运行探索阶段以发现应用程序。但是,您可以使用通过指导探索功能将 AppScan 360° 配置为探索站点的特定部分,或者以特定顺序发送请求。请参阅根据指导进行探索。