配置自定义扫描选项

有几种方法可以为引擎创建自定义扫描配置。您可以配置:

在InsightAppSec中设置自定义选项:

  1. 导航到所有应用>扫描配置
  2. 选择要自定义的扫描配置。
  3. 选择自定义选项

代理

一些组织要求用户通过代理服务器访问web应用程序,以便监控流量。

你可以设置这些代理设置:

  • 没有代理-如果你的应用程序可以在没有代理服务器的情况下访问,请使用此选项。
  • 手动配置—如果您知道代理服务器的URL/IP地址和端口,可以在手动配置中添加。
  • 自动配置-一些组织有多个代理和特定的规则,哪些代理可以用来访问哪个应用程序。为了简化这个过程,这些规则被编写在一个代理自动配置(PAC)文件中。你可以在这里找到一个PAC文件的例子:https://findproxyforurl.com/example-pac-file/.如果您有一个在线托管的PAC文件,您可以在这个字段中提供URL。确保在运行InsightAppSec引擎的系统中可以访问该URL。

如果代理需要身份验证,则必须在相应的字段中提供用户名和密码。

自定义选择代理

性能

性能分段可以让你调整扫描的效率和彻底性之间的平衡。性能参数还取决于应用程序服务器的硬件和网络功能。

您可以设置以下性能选项:

  • URL重试尝试- InsightAppSec将重试一个URL连接的最大次数。
  • 请求间最小延迟(毫秒)- InsightAppSec在向目标应用发送请求之间等待的最小时间(毫秒)。这个值与你的扫描速度成反比。如果你正在测试一个速度较慢的应用程序,你可以增加这个参数的值,这样你的目标应用程序需要更少的资源来支持测试。
    • 缺省值是25毫秒。对于轻量级服务器负载,我们建议将该值增加到200毫秒。
  • 连接超时(女士)- InsightAppSec等待目标应用响应请求的最大时间(以毫秒为单位)。如果您正在测试服务器上资源有限的应用程序,或者注意到扫描日志中有大量超时消息,则应该增加该值。
    • 缺省值是60000毫秒。
  • 读取超时(女士)- InsightAppSec等待收到任何请求的完整响应的最大时间(以毫秒为单位)。读取超时与加载页面所需的时间有关。例如,繁重的报表平台生成页面的时间可能超过60秒。
    • 缺省值是60000毫秒。
  • 最大带宽(KB / s)—InsightAppSec扫描生成的最大流量速率,单位为KB/s。如果您正在组织中网络使用率较低的时间段进行扫描,并且希望提高扫描速度,则可以增加这个数字。
    • 默认值为1200kb /s。
  • 最大并发请求数(1-64)-为了提高扫描效率,InsightAppSec试图同时抓取和攻击目标应用的多个页面。这个参数决定了InsightAppSec将向目标应用发出的最大并发请求数。
    • 该参数的最大取值为64。默认值为16。
  • 每次请求后都要紧密连接-如果你的应用程序没有被编程处理HTTP管道,你应该打开它。

自定义选择性能

HTTP头信息

一些web应用程序基于HTTP请求的头自定义它们的响应。通过修改HTTP头设置,您可以测试web应用程序的各种场景,例如接收来自某个设备或某个国家的请求。

你可以设置以下HTTP报头:

  • 协议-指定web应用程序使用的HTTP协议。缺省值为HTTP/1.1。你可以在这里了解更多不同版本的HTTP协议:https://developer.mozilla.org/en-US/docs/Web/HTTP/Basics_of_HTTP/Evolution_of_HTTP
  • 用户代理—允许服务器识别发出请求的操作系统和软件。如果你的web应用程序在不同的浏览器或设备上的响应不同,你可以使用这个字段来请求不同版本的web应用程序并测试它们。你可以在这里了解更多关于User-Agent HTTP报头的信息:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/User-Agent
  • 接受告知服务器客户端能够理解的内容类型。你可以在这里了解更多关于Accept头的信息:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Accept
  • 内容类型—通知媒体类型的服务器。你可以在这里了解更多关于Content-Types的信息:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Type
  • 额外的头-一些web应用程序基于HTTP请求的头定制他们的响应。通过修改HTTP头设置,您可以测试web应用程序的各种场景,例如接收来自某个设备或某个国家的请求。额外的标题必须是以下格式:头名称:头的值
  • 饼干-指定在应用程序中检索所需状态所需的HTTP cookie。cookie被写在键=值格式,并用分号(;)分隔。
  • 在扫描期间锁定cookie—Web应用程序可以根据当前状态修改HTTP cookie的值。如果您在扫描选项的持续时间内启用了“锁定cookie”值,那么您想要的cookie的值将在扫描期间保持不变。

自定义选项头

高级选项

Advanced Options屏幕使您能够详细配置您的扫描模板,并提供了许多在其他屏幕中不可用的选项。

自定义选项高级选项

下一个什么?