3. AppScan工作流程

工作流程說明：

AppScan提供對 Web 應用程式的全面評估。它基于所有級别的典型使用者技術以及未經授權的通路和代碼注入運作數千次測試。

當您對應用程式運作掃描時，AppScan 會将測試發送到您的 Web 應用程式。測試結果由 AppScan 的站點智能引擎提供，并生成大量報告和修複建議，可用于增強審查和操作。

AppScan是一種互動式工具：您決定掃描的配置并确定要對結果執行的操作。

該AppScan的工作流程包括以下幾個階段：

選擇模闆：

　　　　預定義的掃描配置是掃描模闆。您可以加載正常掃描模闆、另一個預定義模闆或您之前儲存的模闆。（您可以稍後根據目前掃描的需要調整配置。）

應用程式或 Web 服務掃描：

　　　　掃描 Web 服務需要使用者進行一些手動輸入，以顯示AppScan如何使用該服務。

AppScan的：如果你不掃描web服務，或者如果你想申請的掃描部分其他比它的網絡服務，請選擇此預設選項。

外部裝置/用戶端：如果要掃描服務，請選擇此選項。您将 AppScan 配置為記錄代理，并通過 AppScan 從您的外部用戶端發送請求。

掃描配置：

　　　　配置掃描，同時考慮您的站點、環境和其他要求的詳細資訊。

（可選）手動探索：

　　　　登入站點，然後單擊連結并像使用者一樣填寫表單。這是“展示” AppScan典型使用者如何浏覽站點、確定站點的重要部分被掃描并提供用于填寫表單的資料的好方法。

（可選）運作掃描專家：

　　　　這是對您站點的簡短預掃描以評估配置。掃描專家可能會建議更改以提高主掃描的效率。

掃描應用程式或服務：

　　　　這是主掃描，由探索和測試階段組成。

　　　　探索階段：

AppScan抓取您的站點，像普通使用者一樣通路連結并記錄響應。它建立了在您的應用程式中找到的 URL、目錄、檔案等的層次結構。此清單顯示在應用程式樹中。

探索階段可以自動、手動或兩者結合完成。您還可以導入探索資料檔案，其中包含先前記錄的手動探索序列。AppScan然後分析它從站點收集的資料，并基于它為站點建立測試。這些測試旨在揭示基礎設施中的弱點（例如商業、第 3 方産品或 Internet 系統中的安全弱點）和應用程式本身。

　　　　測試階段：

在測試階段，AppScan根據它在探索階段收到的響應來測試您的應用程式，以揭示漏洞并評估其嚴重性。

可以在“掃描配置”對話框中看到包含在目前AppScan版本中的所有測試的最新清單。除了AppScan 自動建立和運作的測試之外，您還可以建立使用者定義的測試。您的測試可以補充AppScan生成的測試，并且可以驗證它找到的結果。測試結果顯示在結果清單中，您可以從中檢視和修改它們。結果的完整詳細資訊顯示在詳細資訊窗格中。

檢視結果：以評估站點的安全狀态。

手動探索其他連結

檢視修複任務

列印報告

如有必要，根據您對結果的審查調整掃描配置，然後再次掃描