Web アプリケーション・スキャンを作成する (フル構成)

スキャンの開始 URL とユーザー資格情報を入力し、サイトのタイプを選択します。また、サイトをスキャンする権限があるかどうかをまだ確認していない場合は、それを確認します。

始める前に

手順

  1. 特定の「アプリケーション」ページで「スキャンの作成」をクリックし、「DAST 動的分析」の下で「スキャンの作成」を選択してウィザードを開きます。
  2. 「新しいスキャン」をクリックします。
    パネルをクリックして値を表示するか、必要に応じて設定を変更します。ほとんどの場合には、デフォルト値で十分です。完了したら「スキャン」をクリックします。
  3. ターゲット: 開始 URL およびドメイン

    スキャンの開始 URL を入力する必要があります

    設定

    オプション

    開始 URL
    URL フィールド
    Web アプリケーションの場合、スキャンを開始する URL を入力します。IPv6 形式で URL を入力する場合は、角かっこ [] で囲みます。例えば、[2001:0000:130F:0000:0000:09C0:876A:130B] と入力します。
    デモ・サイトのスキャン
    このリンクをクリックして、AppScan デモ・サイトの URL を入力します。これにより、ドメインを検証することなくスキャンを実行できます。「ログイン」タブで、「ユーザー名」に「JSmith」、「パスワード」に「Demo1234」を入力します
    注: デモ・サイトのスキャンを実行しても、提供されている完全な URL を使用している限り、ライセンス制限にはカウントされません。?mode=demo スイッチを削除すると、スキャンは制限値にカウントされます。
    このディレクトリー配下のリンクだけを含める
    このチェック・ボックスを選択すると、スキャン時にリンクとして検出される可能性のある外部ドメイン、パラレル・ドメイン、またはサブドメインが除外されます。このチェック・ボックスをクリアすると、スキャンに開始 URL のドメイン以外のドメインを組み込むことができます。

    テスト対象のドメイン

    スキャンに組み込まれるドメインをすべてリストします。入力した開始 URL が自動的にここに追加されます。

    サイトに開始 URL のドメイン以外のドメインが組み込まれており、そうしたドメインをスキャンする場合は、「別のドメインを追加」をクリックして該当するドメインを追加します。

    注: ステージング環境または実稼働環境を選択するオプションは不要になったため、最近削除されました。詳しくは、「ステージング環境または実稼働環境を指定できなくなったのはなぜですか?」を参照してください。
  4. ターゲット: 除外するパス

    アプリケーション内の特定のパスをスキャンから除外します。URL (絶対パス。クエリーを含む場合がある) または正規表現を「除外するパス」リストに追加することにより、自動探査ステージの有効範囲をフィルタリングできます。これを行う理由として考えられることは以下のとおりです。

    • まだ開発中であり、問題があることがわかっていて、現時点ではスキャンしたくない。
    • 問題がない ことがわかっており、スキャン時間を削減したい。
    • スキャンをアプリケーションの特定の部分に制限することにより、スキャン時間を削減する。

    除外するパスの例外として特定のパスをスキャン対象に含めることもできます。

    1 つの除外と 1 つの例外が追加された構成

    設定

    オプション

    + パスを追加

    リストの下にオプションが表示され、スキャンの除外または例外としてパスを追加します。
    除外 リストに含まれるパスがスキャンから除外されます。除外になるように構成されたパスに一致するリンクがフィルタリングされ、スキャンから除外されます。
    • パス: パスまたは正規表現を入力します。パスが正規表現の場合は、「RegEx」トグル・ボタンを選択します。
    • 説明 (省略可能): 「除外するパス」リストに表示する説明を追加します。
    • 除外: 除外を追加するには、このラジオ・ボタンを選択して「追加」をクリックします。例外を定義しない限り、リストされたパスとそのサブディレクトリーはスキャンから除外されます。
    例外 リストの上方で除外されたパス内にある特定のディレクトリーまたはファイルを含める場合に使用します。
    • パス: パスまたは正規表現を入力します。パスが正規表現の場合は、「RegEx」トグル・ボタンを選択します。
    • 説明 (省略可能): 「除外するパス」リストに表示する説明を追加します。
    • 例外: リストの上位で除外されたパス内の特定のディレクトリーに例外を追加するには、このラジオ・ボタンを選択して「追加」をクリックします。リストされたパスはスキャンの対象になります。例外を有効にするには、除外のに表示する必要があることに注意してください。
    注:
    • 例外は、除外されたパス内にあるディレクトリーまたはファイルを含める場合にのみ使用します。例えば、https://demo.testfire.net/bank を除外した場合、https://demo.testfire.net/bank/queryxpath.jsp を例外としてリストの下方に追加すると、そのサブディレクトリーをスキャンに含めることができます。
    • スキャンの探査ステージとテスト・ステージの間で除外を追加する場合、AppScan® は除外されたパスが探査されたとしても、テストを行いません。
    • リスト内の 2 つの項目の間に矛盾がある場合、下の方の 項目が優先されます。リスト内の項目をクリックしてドラッグし、上下に移動して、必要に応じて項目の順序を調整します。
  5. 認証と接続: ログイン管理

    デフォルトでは、ログインは不要です。ログイン/許可が不要な場合はそのままにします。

    設定

    オプション

    ログイン
    ログインが必要です: ユーザー名およびパスワード
    AppScan 360° が必要に応じて資格情報を使用して特別な手順なしでログインできる場合に選択します。3 つ目の資格情報を入力することもできます (オプション)。例: PIN# = 1234。ただし、3 つ目の資格情報を使用するには、AppScan 360° サポート・チームによる介入が必要であり、スキャンに時間がかかる場合があります。
    注: CAPTCHA はサポートされていません。
    ヒント: AppScan 360° では、実際のユーザーの資格情報ではなく、テスト用の資格情報の使用をお勧めします。
    ログインが必要: 記録されたログイン
    特別なログイン手順が必要な場合は、このオプションを選択して、スキャン中にアプリケーションにログインするたびに AppScan 360° が使用する必要がある手順の記録をアップロードします。AppScan Activity Recorder (CONFIG ファイルとして保存) または AppScan Standard (LOGIN ファイルとしてエクスポート) を使用して記録できます。
    重要: 記録されたログイン手順には、以下の要求が含まれている必要があります。
    • ログイン/許可要求
    • 追加のログイン/許可要求。この「追加の」要求によって、AppScan が許可の成功を見極め、アプリケーションのテスト時にセッションを維持できます。

    CONFIG ファイルまたは LOGIN ファイルの記録について詳しくは、「トラフィックの記録」および「AppScan Standard によるログインの記録」を参照してください。
  6. 認証と接続: HTTP 認証

    ログイン情報のほかに、アプリケーションが HTTP 認証 (Negotiate、NTLM、Kerberos、ADFS、Basic、または Digest) を必要とするかどうかを指定します。AppScan 360° をスキャン中に使用するために、「ユーザー名」「パスワード」、および「ドメイン」(オプション) に入力します。

  7. 認証と接続: ワンタイム・パスワード

    サイトでユーザーのログインに時間ベースのワンタイム・パスワードを要求する場合は (MFA)、このチェック・ボックスを選択し、ダイアログの最初の 4 つのフィールドに入力します

    設定

    オプション

    TOTP を使用する
    • 秘密鍵
    • OTP の長さ (桁数)
    • 使用するハッシュ・アルゴリズム (ドロップダウンから選択)
    • 時間ステップ (秒)
    注: TOTP は、このウィザードでサポートされる唯一の OTP です。その他の OTP オプションについては、AppScan Standard でスキャンを設定し、AppScan 360° にアップロードできます。OTP を使用して AppScan Standard でスキャンを構成する場合は、要求ベースのログインではなく、アクション・ベースのログインを使用する必要があります。詳細については、AppScan Standard の資料を参照してください。
  8. 認証と接続: 通信

    AppScan 360° がサイトに同時に送信できる要求の最大数を設定します。

    設定

    オプション

    スレッド数

    サイトでこの数量が許可されていない場合は、上限を低くします。サイトで同時スレッドが許可されていない場合は、上限を 1 にします。

    サーバー通信タイムアウト
    スキャン中、自動的に調整する
    タイムアウトするまでに AppScan 360° が特定の応答を待機する時間を決定できます。これにより、スキャン時間が大幅に短縮される可能性があります。
    解決済み
    タイムアウトするまでに AppScan 360° が応答を待機する最大時間を設定します。サイトの応答が遅く、短いタイムアウトが原因で AppScan 360° が応答を見逃している場合は、この設定を長くします。

    最大要求速度

    デフォルトでは、AppScan 360° はその要求を可能な限り高速でサイトに送信します。この制限によってネットワークまたはサーバーが過負荷になる場合は、この値を小さくします。
  9. 認証と接続: 探査

    スキャン中に AppScan 360° がサイトを探索する方法を定義します。

    設定

    オプション

    フォームの自動入力
    AppScan 360° AppScan Standard のデフォルトのフォーム入力パラメーター値を使用して、サイトでフォームの入力および送信を行います。
    重要: 実稼働中のサイトをスキャンする場合は、この機能を無効にすることをお勧めします。詳細については、次を参照してください。 ライブ実動サイトをスキャンするときに、どのような変更を行う必要がありますか?
    注: 自動フォーム入力をオフにして、AppScan 360° でスキャンすると、ログイン管理データを除く、フォームに入力されたすべての情報が削除されます。AppScan はスキャン中、自動的にフォームに入力しません。このスキャンを AppScan Standard にインポートすると、自動フォーム入力が有効になりますが、ログイン管理を除くフォーム入力データは空になります。

    タイプ
    自動的に探査する
    AppScan は、開始 URL から自動的に Web アプリケーションをクロールして、テストするページを検出します。
    ガイダンスを使用した探査
    AppScan でテストするために、記録された独自の探査ステージをアップロードします。これは、単独で使用することも、自動探査ステージに追加して使用することもできます。
    2 つの探査タイプについて詳しくは、次を参照してください。 動的分析 (DAST) について

    ガイダンスを使用した探査

    		 このセクションは、「ガイダンスを使用した探査」を選択した場合にのみアクティブになります。

    記録をアップロードする

    1 つ以上の DAST.CONFIG トラフィック・ファイルをアップロードします。記録方法の詳細については、「トラフィックの記録」を参照してください。

    ファイル設定

    トラフィック・ファイル内の要求を、記録した特定の順序で送信する必要がある場合は、マルチステップ操作をアクティブにします。この方法では、スキャンの所要時間が大幅に長くなるため、必要な場合にのみ使用してください。マルチステップ操作と通常のガイダンスを使用した探査の違いについては、「ガイダンスを使用した探査」を参照してください。

    マルチステップ操作をアクティブにするには、次の手順を実行します。
    • アップロードされた記録ごとに、ファイル名をクリックし、「マルチステップのアクティブ化」オプションを「オン」に切り替えます。
    記録の使用方法
    全自動の探査ステージに加えて、記録された探査を使用し、すべてをテストする
    AppScan 360° で、独自の自動探査ステージが実行され、アプリケーションが検出されて、検出結果およびアップロードしたトラフィック・ファイルの両方に基づいてテストされます。
    記録された探査のみを分析してテストする
    AppScan 360° では、アップロードしたファイルがスキャンの探査ステージとして扱われます。記録されたトラフィックのみを対象に分析とテストの作成が行われ、テストされます。自動の探査ステージはありません。
  10. テスト: テスト・ポリシーと最適化

    テスト中にアプリケーションに送信されるテストのコレクション (テスト・ポリシー) を定義します。また、詳細なスキャンよりも迅速なスキャンを優先する製品のライフサイクルで、スキャンを高速化するための最適化を適用します。

    設定

    オプション

    テスト・ポリシー
    必要なカバー範囲のレベルに基づいて、5 つの事前定義されたテスト・ポリシーのいずれかを選択します。デフォルトは、侵入テストとポート・リスナー・テストを除くすべてのテストを含むデフォルトです。詳細は、「テスト・ポリシー」を参照してください。
    ヒント: テスト・ポリシーは、アプリケーション・ポリシーとは異なります。

    テストの最適化

    必要性に応じてスキャン速度と問題のカバー範囲とのトレードオフのレベルを選択します。スライダーには 4 つのレベルがあります。デフォルトは、「高速」です。詳細は、「テストの最適化」を参照してください。
  11. テスト: テスト・オプション

    ログイン・ページとログアウト・ページでテストを送信するかどうかを選択します。ログイン・ページでテスト送信を選択した場合、セッション ID を送信するかどうかを指定します。

    設定

    オプション
    ログイン/ログアウト・テスト ログイン・ページとログアウト・ページでテストを送信するかどうかを選択します。ログイン・ページでテスト送信を選択した場合、セッション ID を送信するかどうかを指定します。
  12. 設定: スケジュール

    スキャンを実行するタイミング (今すぐ、後で、またはスケジュール) を指定します。

    設定

    オプション

    すぐにスキャン

    セットアップとレビューが完了するとすぐにスキャンが実行されます。

    後のために保存

    設定は、完了すると保存されます。後でスキャンを実行できます。
    スケジュール
    設定が保存され、1 つ以上のスキャンが設定済みとして実行されます。
    1. 日時を選択する。これらの値はマシンで設定されているタイム・ゾーンに従って入力しますが、ユーザー・インターフェースに表示される時刻は UTC に変換されることに注意してください。
    2. スキャンを複数実行するには、「繰り返し」を選択して、以下を選択します。
      • 毎日: 日単位の間隔 (1 日から 30 日) を選択します
      • 毎週: 曜日を選択します
      • 毎月: 月単位の間隔を選択し、日付 (数値) または曜日 (最初、2 番目、3 番目、4 番目、最後) を選択します。
      注: スケジュール済み時刻になったときに最大数の同時スキャンが実行されている場合は、サブスクリプションで許可されるとすぐにスキャンが開始されます。
    3. 「終了日」(スキャンが実行される最後の日付) を設定するか、「終了日の削除」をクリックしてスケジュールを無期限に実行します。
  13. プリファレンス: スキャン・オプション
    「スキャン・オプション」パネルでは、以下を実行できます。
    • 個人スキャンとしてスキャンを実行するように指定します。
    • スキャン完了時に E メールを受け取るように指定します。
  14. 概要

    必要に応じてスキャン名を編集し、スキャンに選択した設定を確認します。必要に応じて「戻る」をクリックして前のパネルに戻って調整します。

  15. 「スキャン」をクリックします。

タスクの結果

新規スキャンとその開始時間が「スキャン」ビューに追加され、進行状況表示バーにスキャンが実行中であることが示されます。スキャンが完了すると、進行状況表示バーが閉じ、結果がグラフに要約され、(選択した場合には) E メール通知を受け取ります。「結果」を参照してください。