トラフィックの記録
トラフィックは、AppScan Activity Recorder ブラウザー拡張機能 (Chrome または Edge 用)、HCL AppScan Traffic Recorder プロキシー・サーバー、または AppScan Standard を使用して、DAST スキャンの探査データとして記録できます。
DAST スキャンを実行すると、AppScan 360° がサイトを自動的に探査します。場合によっては、独自の記録を作成してアップロードし、AppScan 360° がサイトをテストするときに使用すると便利です。次のテーブルは、トラフィックを記録するためのオプションをまとめたものであり、それらが役に立つと思われるシナリオを示しています。
オプション | 説明 | ユース・ケース |
---|---|---|
AppScan Activity Recorder | Chrome および Edge 用のブラウザー拡張機能。 | 独自の参照アクティビティーを記録し、DAST.CONFIG ファイルとして保存します。DAST スキャンの構成時に、ファイルを AppScan 360° にアップロードします。 |
HCL AppScan Traffic Recorder | DAST プロキシー・サーバー | トラフィック・レコーダー・インスタンスは、オンデマンドで (Selenium などの自動化フレームワークなどで) 作成すると、トラフィックを自動的に記録し、DAST.CONFIG ファイルとして保存できます。DAST スキャンの構成時に、ファイルを AppScan 360° にアップロードします。注: Web API に送信されたトラフィックの記録をアップロードする場合は、「テスト・ステージのみを実行」(スキャン設定で) を選択します。 AppScan 360° Web API の探査は、DAST 探査のステージではできません。
|
AppScan Standard | デスクトップ・アプリケーション | AppScan Standard がインストールされている場合は、拡張構成オプションを活用してスキャンを構成し、SCAN ファイルとして保存できます。このファイルを使用して、AppScan 360° で DAST スキャンを作成します。ログイン手順のみを記録および検証し、 |
AppScan Activity Recorder の使用
AppScan Activity Recorder を使用してトラフィックを記録するには、次の手順を実行します。
- ブラウザーを開いて AppScan Activity Recorder をインストールします。
- 新しいブラウザー・タブで、開始 URL を入力します。
- 拡張機能のアイコンをクリックして記録を開始し、ガイド付き探査ステージを記録します。注: 記録を開始する前に、アプリケーションからログアウトする必要があります。
- 終了したら、拡張機能のアイコンを再度クリックして記録を停止します。DAST.CONFIG ファイルを保存するように促すプロンプトが表示されます。
AppScan トラフィック・レコーダーの使用
HCL AppScan Traffic Recorder を使用すると、Web サービスまたは Web API へのトラフィックを記録できます。これを DAST.CONFIG
ファイルとして保存し、AppScan 360° スキャンの探査データとして使用できます。詳しくは、HCL AppScan Traffic Recorderを参照してください。
注: Web API へのトラフィックの記録をアップロードする場合は、「テスト・ステージのみを実行」(スキャン設定で) を選択します。 AppScan 360° Web API の探査は、DAST 探査のステージではできません。
AppScan Standard を使用する
ユース・ケースと AppScan Standard の取得方法の詳細については、「AppScan Standard」を参照してください
AppScan Standard を使用して AppScan 360° のトラフィックを記録するには、次の手順を実行します。
- 「構成」ダイアログ・ボックスを開き、スキャン、ログイン、およびその他必要な設定の開始 URL を使用して AppScan スキャンを構成します。
- AppScan Standard で、「マニュアル探査」をクリックして組み込みの Activity Recorder を開き、記録を開始します。
- アプリケーションにログインし、スキャンでテストするリンクをクリックします。
- 「OK」をクリックします。
- 要求のリストを確認し、必要に応じて編集して、「OK」をクリックします。
SCAN
ファイルを保存してアップロードし、AppScan 360° スキャンを作成します (「スキャン・ファイルからの新規スキャンの作成」を参照)。
AppScan Standard によるログインの記録
AppScan 360° を使用してアプリケーションのログイン手順を記録し、LOGIN
ファイルとしてエクスポートして、LOGIN ファイルをアップロードすると、AppScan 360° スキャンで使用できます。
AppScan Standard でログイン手順を記録するには、次の手順を実行します。
- 「構成」ダイアログ・ボックスを開き、スキャンの開始 URL を使用して AppScan スキャンを構成します。
- 「ログイン管理」ビューの「ログイン方法」で、「記録済み」を選択します。
- 「記録」をクリックし、開いた内部ブラウザーを使用してアプリケーションにログインします。
HTTP 要求とユーザー・アクションの両方が記録されます。
- ログインしたら、「サイトにログインしています」をクリックします。
ブラウザーが閉じ、AppScan がシーケンスを分析して、スキャン中に使用できるセッション内ページを識別し、AppScan のログアウト時間およびログイン継続の時間を確認します。成功すると、確認用に緑色の鍵アイコンが表示されます。
- ダイアログの下部で、「エクスポート」をクリックして、この手順を
LOGIN
ファイルとして保存します。