配置自定义扫描选项

有几种方法可以为引擎创建自定义扫描配置。您可以配置:

要在InsightAppSec中设置自定义选项,请执行以下操作:

  1. 导航到所有应用>扫描配置
  2. 选择要自定义的扫描配置。
  3. 选择自定义选项

代理

一些组织要求用户通过代理服务器访问web应用程序,以便监控流量。

您可以设置以下代理设置:

  • 无代理-如果你的应用程序可以在没有代理服务器的情况下访问,请使用此选项。
  • 手动配置-如果您知道代理服务器的URL/IP地址和端口,可以将其添加到手动配置部分。
  • 自动配置-一些组织有多个代理和特定的规则,哪些代理可以用来访问哪个应用程序。为了简化这个过程,这些规则被编写在一个代理自动配置(PAC)文件中。你可以在这里找到一个PAC文件的例子:https://findproxyforurl.com/example-pac-file/.如果您有一个在线托管的PAC文件,您可以在这个字段中提供URL。确保在运行InsightAppSec引擎的系统中可以访问该URL。

如果代理需要身份验证,则必须在相应字段中提供用户名和密码。

自定义选项代理

表演

表演分段可以让你调整扫描的效率和彻底性之间的平衡。性能参数还取决于应用程序服务器的硬件和网络功能。

您可以设置以下性能选项:

  • URL重试尝试- InsightAppSec将重试一个URL连接的最大次数。
  • 请求之间的最小延迟(毫秒)- InsightAppSec在向目标应用发送请求之间等待的最小时间(毫秒)。这个值与你的扫描速度成反比。如果你正在测试一个速度较慢的应用程序,你可以增加这个参数的值,这样你的目标应用程序需要更少的资源来支持测试。
    • 缺省值是25毫秒。对于轻量级服务器负载,我们建议将该值增加到200毫秒。
  • 连接超时(毫秒)-InsightAppSec等待目标应用程序响应请求的最长时间(毫秒)。如果正在测试托管在资源有限的服务器上的应用程序,或者在扫描日志中发现大量超时消息,则应增加此值。
    • 缺省值是60000毫秒。
  • 读取超时(毫秒)-InsightAppSec等待接收任何请求的完整响应的最长时间(毫秒)。读取超时与加载页面所需的时间有关。例如,重型报告平台生成页面的时间可能超过60秒。
    • 缺省值是60000毫秒。
  • 最大带宽(KB/s)-InsightAppSec扫描将生成的最大通信速率(KB/s)。如果您在组织中网络使用率较低的时期进行扫描,并且希望提高扫描速度,则可以增加此数字。
    • 默认值为1200 KB/s。
  • 最大并发请求数(1-64)-为了提高扫描效率,InsightAppSec尝试同时抓取和攻击目标应用程序的多个页面。此参数确定InsightAppSec将向目标应用程序发出的最大并发请求数。
    • 此参数的最大值为64。默认值为16。
  • 在每次请求后关闭连接-如果你的应用程序没有被编程处理HTTP管道,你应该打开它。

自定义选项性能

HTTP头信息

一些web应用程序基于HTTP请求的头自定义它们的响应。通过修改HTTP头设置,您可以测试web应用程序的各种场景,例如接收来自某个设备或某个国家的请求。

你可以设置以下HTTP报头:

  • 协议-指定web应用程序使用的HTTP协议。默认值是HTTP/1.1。您可以在此处了解有关HTTP协议不同版本的更多信息:https://developer.mozilla.org/en-US/docs/Web/HTTP/Basics_of_HTTP/Evolution_of_HTTP
  • 用户代理—允许服务器识别发出请求的操作系统和软件。如果你的web应用程序在不同的浏览器或设备上的响应不同,你可以使用这个字段来请求不同版本的web应用程序并测试它们。你可以在这里了解更多关于User-Agent HTTP报头的信息:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/User-Agent
  • 接受告知服务器客户端能够理解的内容类型。你可以在这里了解更多关于Accept头的信息:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Accept
  • 内容类型-通知服务器媒体类型。您可以在此处了解有关内容类型的更多信息:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Type
  • 额外的头-一些web应用程序基于HTTP请求的头定制他们的响应。通过修改HTTP头设置,您可以测试web应用程序的各种场景,例如接收来自某个设备或某个国家的请求。额外的标题必须是以下格式:头名称:头的值
  • 饼干-指定在应用程序中检索所需状态所需的HTTP Cookie。Cookie写在键=值格式,并用分号(;)分隔。
  • 在扫描期间锁定cookie-Web应用程序可以根据HTTP Cookie的当前状态修改其值。如果启用“扫描期间锁定cookie值”选项,则所需cookie的值在扫描期间将保持不变。

自定义选项头

高级选项

Advanced Options屏幕使您能够详细配置您的扫描模板,并提供了许多在其他屏幕中不可用的选项。

自定义选项高级选项

下一步是什么?