Представление Glass Box

Представление Glass Box в окне Конфигурация.

В сканировании методом glass box используется агент, установленный на сервере приложений. Этот агент отслеживает операции сервера в ходе сканирования, собирая информацию об исходном коде и другие данные. Такой подход позволяет повысить скорость и точность сканирования. Агент glass box для настроенного начального URL выбран по умолчанию. Кроме того, включены обе функции сканирования glass box.

Сканирование методом glass box может обнаружить скрытые URL на этапе анализа и дополнительные неполадки и информацию на этапе тестирования.

Параметр

Сведения

Использовать этот агент glass box

Если агент glass box установлен на сервере приложений и задан в AppScan, то его можно добавить в сканирование. Если указан начальный URL, то AppScan попытается выбрать агент в автоматическом режиме.

Если агент выбран, то AppScan попытается подключиться к нему и выдаст результаты.
Прим.: Если при выборе агента выдается сообщение "Требуются идентификационные данные", проверьте правильность идентификационных данных, указанных в окне Сервис > Управление glass box.
Если требуемый сервер отсутствует в выпадающем списке, то его можно указать с помощью ссылки Управление агентами glass box.
Ограничение: В сканирование можно добавить только один агент glass box. Если сканируемое приложение использует несколько серверов, то сканирование с помощью каждого агента потребуется выполнить отдельно.

Использовать glass box на этапе анализа

(Включен по умолчанию.)

Эта функция может увеличить покрытие сайта, анализируя серверный исходный код на наличие параметров, влияющих на поведение сервера, но не показанных в ответе.

Пример серверного кода:
String debugOn = request.getParameter("debug");
if (debugOn == "true"){
	response.getWriter().println(SECRET_SERVER_DATA);
}
В этом примере разработчик оставил параметр "debug" в коде. Он не будет показан в ссылках на сайте, но если бы взломщик отправил запрос, содержащий этот параметр, то мог бы получить в ответ SECRET_SERVER_DATA.

Использовать glass box на этапе тестирования

(Включен по умолчанию.) Включите этот переключатель, чтобы отправлять тесты glass box на этапе тестирование во время сканирования. Эта функция может проверить успех или неудачу определенных тестов, например Слепое внедрение кода SQL, с большей точностью, а также вскрыть наличие определенных неполадок защиты, которые не могут быть обнаружены технологиями черного ящика.

Пропустить эквивалентные тесты черного ящика

(Выключен по умолчанию.) Это означает, что одной и той же уязвимости (классификация уязвимостей WASC) отправляются тесты черного ящика и тесты glass box. Тесты glass box являются более точными и позволяют получить более подробные результаты, однако в отдельных ситуациях тест черного ящика может выполняться успешно в случае сбоя теста glass box. Если результаты для приложения не зависят от выполнения тестов черного ящика, включите этот переключатель, чтобы сократить время сканирования.
Прим.: По умолчанию включены два основных переключателя. Если выключить оба этих переключателя, то будет выключено сканирование glass box.

См. также:

Сканирование Glass box

Установка агента glass box

Настройка агента glass box в AppScan

Сканирование с помощью glass box

На уровень выше: Окно Конфигурация сканирования