詳細構成

Accept-Language 要求ヘッダー値

すべての HTTP 要求の Accept-Language ヘッダーに送信されるストリング。

このストリングをユーザーが定義しなかった場合、AppScan® は、ユーザーがログイン手順やマルチステップ操作を記録するため、あるいはページを表示するために開いたこのスキャンで、ブラウザーから最初に送信された値を使用します。

デフォルト: ja-JP

探査ステージにおいて、Internet Explorer のヘッダー値が原因となって、AppScan が予期しない応答を受信する場合があります。このような場合、このサイトとの対話時にどの値を Accept-Language ヘッダーで使用すべきかを確認し、その値をこの設定 (または Internet Explorer) に定義する必要があります。

カスタム・ヘッダー

AppScan がサイトに送信するすべての要求に追加するカスタム・ヘッダーを定義できます。

デフォルト: empty

サイトで特定のヘッダー内容が予期されている場合 (例えば、特定のクライアントまたはブラウザーのプラグインによってサイトにアクセスするなどの場合) は、そのヘッダーをここで定義します。それぞれのヘッダーの前に区切り文字を指定する必要があります。ヘッダーと値の間には、コロンとシングル・スペースが必要です。

形式: 区切り文字|ヘッダー|コロンとシングル・スペース|値

;Header: Value

,Header1: Value1,Header2: Value2

すべてのフォーム・アクションに対してパラメーターのない HTTP 要求を強制する

場合によっては、パラメーターが指定されていない フォームの処理要求を受け取ったときのサーバー・サイドのロジックの動作が異なることがあります。

True に設定すると、AppScan はすべてのフォームに対してパラメーターのない追加要求を送信します。その結果、追加の Web ページおよび機能へのリンクを持つカスタム・エラー・ページが返されることがあります。

デフォルト: 真

スキャン中のトラフィックを確認し、パラメーターのないフォームの処理要求が原因でアプリケーションのタイムアウトや異常終了が発生することがわかった場合は、このオプションを False に設定することをお勧めします。

GSC SSL ポート

この設定により、SSL 通信の GSC で使用されるポート番号が定義されます。

デフォルト: 443

GSC 探査によって提供されたリンクの場合、AppScan はこのポート番号を基にして HTTPS を識別します。SSL 通信用に異なるポートをアプリケーションで使用する場合は、そのポートをここで定義します。正しい SSL ポートを定義しない場合、AppScan はすべてのテストを HTTP として送信します。

すべての要求に AppScan デバッグ・ヘッダーを含める

True に設定されている場合は、AppScan によってサイトに送信されるすべての要求に、HTTP ヘッダーが追加されます。ヘッダー名は「X-AppScan-Debug」であり、その値には、AppScan がこの特定の要求を送信する理由 (探査、テスト、ログイン再生、サーバー障害検査など) についての情報が含まれます。

デフォルト: False

スキャンが「X-AppScan-Debug」ヘッダーを送信するように構成すると、Web デバッガー、プロキシー、アナライザー、スニファーなどの外部ツールで AppScan トラフィックを追跡するときに役立ちます。

注: 一部のサイトは、このような特殊なヘッダーを含む要求をすべて拒否することがあります。

最大応答長

AppScan は、メモリー消費量に関する問題を回避するため、長い応答を切り捨てます。この設定は、許可する最大応答長をメガバイト単位で定義します。これより長い応答はエラーとして扱われます。

デフォルト: 8

AppScan でリンクが認識されていないかセッションが無効になっているように見える場合、アプリケーションが長い応答を送信することが分かっているときは、最大応答長を増やすことによって問題が解決することがあります。

Accept-Encoding ヘッダーの削除

AppScan はすべてのエンコードをサポートしているわけではないため、サポートしていないエンコードを除去します。この設定が有効になっている場合、AppScan は、サポートしていないエンコードだけでなく、ヘッダー全体を除去します。

デフォルト: 真

AppScan の要求をサーバーが拒否する場合、予期しない応答をサーバーが返す場合、または AppScan がセッションを維持できない場合は、トラフィック・ログを調べて、AppScan が送信する要求とご使用のブラウザーが送信する要求を比較する必要があります。ブラウザーの Accept-Encoding ヘッダーが異なっているか欠落している場合は、この設定を有効にする必要があります。

サーバー接続を再使用する

デフォルトでは、AppScan は TCP 接続を使用後に閉じます。これは、開いている接続と保存データによってスキャン結果が影響を受ける可能性があるためです。

True に設定すると、AppScan は接続を使用後も開いたままにし、可能な限り、開いている接続の再使用を試みます。

デフォルト: False

Web サーバー上でネットワーク・リソースが使い尽くされるというエラーが発生する場合は、この設定を True に変更することにより、問題を解決できる可能性があります。

セキュリティー・パッケージ順序

AppScan は、基本、ダイジェスト、NTML、ネゴシエーション、および Kerberos HTTP 認証をサポートしています。特定の方式の使用または不使用を AppScan に適用する場合、またはサイト/プロキシーで複数の方式が許可されているときに、方式の選択について優先順位を適用したい場合は、この値を編集します。

例えば、「NTLM」と「基本」だけを許可し、使用可能な場合は「NTLM」を優先して使用したい場合は、この文字列を編集して にします。 ntlm, basic

デフォルト: basic, digest, ntlm, negotiate, kerberos

特定の認証方式がサイトで使用されており、AppScan がアクセスを拒否された場合、必要な方式を唯一の方式として定義すると、問題を解決することができます。

特定の方式 (例えば、「基本」と「NTLM」など) を使用してサイトをテストしたい場合、一方のスキャンを「基本」だけを使用するように構成し、もう一方のスキャンを「NTLM」だけを使用するように構成することができます。

スラッシュ正規化

連続する 2 つ以上のスラッシュを 1 つのスラッシュに置き換えて、URL を正規化します。

デフォルト: 真

サイト URL で連続スラッシュを利用している場合は、この設定を非アクティブにしてください。

エラー応答を有効な応答として処理

AppScan は、通常のページとは異なる方法でエラー・ページを処理します (例えば、リンクの構文解析を行わないなど)。この設定を使用すると、すべてのエラー・ページまたは開始 URL に対するエラー・ページのみを通常のページとして処理するよう AppScan に指示できます。

0 に設定すると、AppScan はすべてのエラー応答を無効として処理します。

1 に設定すると、AppScan は開始 URL に対するすべてのエラー応答 (4xx および 5xx) を有効として処理します。

2 に設定すると、AppScan は、通常のページと開始 URL の両方について、すべてのエラー応答を正しい応答として処理します。

デフォルト: 0

開始 URL 応答がエラー・ページの場合、この設定を 1 に変更します。

スキャンによってエラー・ページからデータを抽出してテストしたい場合は、この設定を 2 に変更します。

デフォルト設定を変更すると、パフォーマンスに影響する可能性があることに注意してください。

Flash:

範囲

スキャンの「範囲レベル」を定義します。1 = 速度優先スキャン; 2 = カバー範囲優先スキャン

デフォルト: 1

カバー範囲を重視して Flash コンテンツをスキャンする場合は、この設定を 2 に変更できます (ただし、速度は遅くなります)。

インスタンスを除外

Flash スキャンから除外する、問題のある GUI インスタンスを定義します。このオプションを使用するのは、サポート担当者から指示された場合のみにしてください。

スキャンが失敗した場合、または、反復操作のためにエンドレスになった場合。複数のインスタンスを指定する場合はコンマで区切ります。

ファイル・ダウンロード・ストリング

Flash ムービーを効率的にスキャンするためには、ファイルのダウンロードを引き起こすコントロールを AppScan が識別可能であることが重要です。ここではそのコントロールを定義します。

AppScan は、ここで定義したストリングを含むコントロールをクリックした後に「長い操作の待機時間」だけ一時停止します。この動作は、ストリングが「長い操作のストリング」設定に含まれていない場合でも同じです。

デフォルト: ダウンロード

ムービーにファイル・ダウンロードが含まれる場合は、ここでダウンロードを定義する必要があります。

複数ある場合は、セミコロンで区切ってください。

例: Download;Save;Copy

ファイル・アップロード・パス

ファイルをアップロードするためのオプションがムービーに含まれている場合に、アプリケーションに対して AppScan がアップロードできるファイルへのパス。

デフォルト: empty

ファイルをアップロードするためのオプションが Flash ムービーに含まれている場合は、ファイルへのパス (ファイル名を含む) を定義して、そのファイルがそこに存在することを確認してください。「ファイル・アップロード・ストリング」も定義する必要があることに注意してください。

ファイル・アップロード・ストリング

Flash ムービーを効率的にスキャンするためには、ユーザーがファイルをアップロードすることを許可するコントロールを AppScan が識別可能であることが重要です。ここではそのコントロールを定義します。

AppScan は、ここで定義したストリングを含むコントロールをクリックした後に「長い操作の待機時間」だけ一時停止します。この動作は、ストリングが「長い操作のストリング」設定に含まれていない場合でも同じです。

デフォルト: Upload;Browse

ユーザーがファイルをアップロードすることをムービーが許可する場合は、アップロードを行うリンクまたはコントロールのテキストをここで定義する必要があります。

複数ある場合は、セミコロンで区切ってください。

例: Upload;Browse;Add

「ファイル・アップロード・パス」も定義する必要があることに注意してください。

Flash ムービーの依存関係が存在する

サイトが持つ Flash ムービーに、そのムービーが依存する別の Flash ムービーが含まれていることを判別します。

デフォルト: False

サイトに含まれている Flash ムービーが、そのムービーが依存する別の Flash ムービーをロードする場合は、これを True に設定します。

フレーム・レート係数

Flash の再生時に、この係数 (1、2、3、4) を乗算してフレーム・レートを増加させます。

デフォルト: 4

AppScan は、スキャン中に動画を再生するときに、デフォルトで係数 4 を乗算してフレーム・レートを増加させます。これが、実際の使用をシミュレートするには速すぎる場合は、より低い値を指定できます。

ムービーのロード待ち時間

AppScan がムービーのロードを待機する時間がこの時間 (ミリ秒) を超えると、ムービーの探査を開始します。

デフォルト: 1600

ムービーがロードされる前に AppScan がムービーの探査を開始した場合には、結果が不正確になります。したがって、ムービーのロードにかかる時間がデフォルト時間よりも長い場合は、この設定を大きくする必要があります。

長い操作のストリング

多くの場合 Flash ブラウザーは、操作後、次の操作に進む前に「通常待機時間」で定義されている時間だけ待機します。これは、ムービーが新たな状態に達する時間を確保するためです。操作に時間がかかるため新たな状態に達するまでスキャンが続行する可能性がある場合は、ブラウザーの一時停止時間を長くするために「長い操作」(ファイルのアップロードやログインなど) を定義する必要があります。

デフォルト: empty

「アップロード」リンクまたは「ログイン」リンクなどの操作を「長い操作」として定義することをお勧めします。

ファイル・アップロードの場合、ここで定義する必要があるリンクは、実際にファイルのアップロードを生じさせるリンクです。アップロード対象のファイルをユーザーに選択 させるリンクではありません。

2 つ以上のストリングを入力する場合は、シングル・スペースで区切ってください。

長い操作の待機時間

「長い操作のストリング」で定義した操作が完了して新たな状態に達するのを Flash ブラウザーが待機する時間 (ミリ秒)。

デフォルト: 5000

「長い操作」が定義されている場合は、その「待機時間」をここで定義する必要があります。

サンプル間の時間

ムービーが新たな状態に達するまでの時間を確保するために、「ユーザー操作」(マウスのクリックなど) の間に待機する最小時間 (ミリ秒単位)。

デフォルト: 160

ムービーに大量のアニメーションが含まれる場合は、ユーザーのクリックの間やフォーム入力の間に、デフォルト設定より長い待機時間が必要なことがあります。その場合は、ここで時間を増やすことができます。

全般:

冗長なテストをマージする

True に設定すると、AppScan は、同じ 2 つ (またはそれ以上) の要求に対して 1 セットのテストのみを送信します (追加の Cookie は除く)。False に設定すると、そのような要求は、すべて個別にテストされます。

デフォルト: 真

この設定を False に変更すると、パフォーマンスが低下する可能性があります。サポートにより指示された場合のみ、False に変更してください。

プロキシー・ファイル拡張子フィルター

ログイン、マニュアル探査、またはマルチステップ操作を記録するときに保存される URL のリストから削除されるファイル拡張子を定義する正規表現。正規表現を使用して拡張子を削除する場合、その拡張子で終了する URL は、フィルターによって記録から除外されません。

デフォルト: "\.(zip|Z|tar|t?gz|sit|cab|pdf|

ps|doc|ppt|xls|rtf|dot|mp(p|t|d|e|a|3|

4|ga)|m4p|mdb|csv|pp(s|a)|xl(w|a)|

dbf|slk|prn|dif|avi|mpe?g|mov(ie)?|

qt|moov|rmi?|as(f|x)|m1v|wm(v|f|

a)|wav|ra|au|aiff|midi?|m3u|gif|

jpe?g|bmp|png|tif?f|ico|pcx|css|

xml)$"

CAPTCHA イメージ・ファイルなどの特定の種類のファイルを、参照のためにログイン記録に含める必要が生じる場合がまれにあります。そうした場合は、正規表現を使用してそのファイル拡張子 (この場合は jp?g) を削除できます。

ログのサニタイズ

ログから機密情報を除去します。

デフォルト: False

ログから機密情報を除去する必要がある場合は、このオプションをアクティブにし、除去するパターンを「機密情報パターン」オプションで定義します。

ただし、この設定を変更しても既に生成されたログには影響を与えません。

レポートのサニタイズ

レポートから機密情報を除去します。

デフォルト: False

レポートから機密情報を除去する必要がある場合は、このオプションをアクティブにし、除去するパターンを「機密情報パターン」オプションで定義します。

ただし、この設定を変更しても既に生成されたレポートには影響を与えません。

GSC を使用してすべてのテストを送信

AppScan は、GSC を使用して、GSC が検出した一部またはすべてのリンク上でのテストを送信することができます。

0 = GSC を使用して SOAP メッセージのみを送信

1 = GSC を使用して、GSC が検出したリンク上でのすべてのテストを送信

2 = GSC を使用してテストを送信しない

デフォルト: 0

GSC でサイトを探査したときに特別なセキュリティー設定を何も定義しなかった場合、テスト・ステージ中に (GSC ではなく) AppScan がテストを送信できるようにすることで、スキャン時間が大幅に削減されます。ただし、テスト・ステージで多くのテストから応答がなかった場合、または予期しないエラー応答が返された場合は、GSC による要求の送信方法と AppScan による要求の送信方法との違いが原因で、この問題が発生している可能性があります。そのようなテストは、GSC を使用して送信することで問題が解決される場合があります。

機密情報パターン

ログおよびレポートから除外する 1 つ以上のグループを定義する正規表現。これは、「ログのサニタイズ」オプションまたは「レポートのサニタイズ」オプションがアクティブである場合に使用されます。

デフォルト: empty

レポートまたはログから機密情報を除去する必要がある場合は、対応するオプション (「ログのサニタイズ」または「レポートのサニタイズ」) をアクティブにし、ここで正規表現を使用して 1 つ以上のグループを定義します。

機密テキストは次のものに置き換えられます: **CONFIDENTIAL 1**、**CONFIDENTIAL 2**、など。

JavaScript™:

マニュアル探査による JavaScript の自動実行

マニュアル探査時にトリガーされなかったリンクも含め、マニュアル探査されたページ上のすべての JavaScript 生成リンクを抽出するように、AppScan を構成できます。

デフォルト: False

これは、マニュアル探査時の範囲を広げるための方法の 1 つです。

キャッシュの消去

True に設定すると、JavaScript 実行 (有効な場合) は、ログイン中に送信された要求をキャッシュしません。これにより、スキャン時間が長くなり、ファイル・サイズが増える場合があります。

デフォルト: False

外部リンクの取り出し

JavaScript の実行が有効になっている場合に、AppScan で追加サーバーとして構成されていないサーバーが外部リンクで参照されていても、AppScan が外部リンクを取り出すことを許可します。

デフォルト: False

HTML ページは、Dojo ソース・ファイルや jQuery ソース・ファイルなどの外部 JavaScript ソース・ファイルにリンクしていることがよくあります。JavaScript の実行時に、探査ステージで検出されるすべての関連リンクにアクセスする場合は、この設定をアクティブにします。これにより、AppScan のテスト対象となる追加サーバーおよびドメインのリストにすべてのサーバーを追加せずにすむようになります。

AppScan は、リンクを取り出すときに、そのリンク先をテストしたり、そのリンク先を解析して新規リンクを抽出したりすることはありません。

JavaScript および Flash フィルター

この正規表現は、スキャンの探査ステージで JavaScript の実行対象および Flash の解析対象から除外するページを定義します(これらは JavaScript の構文解析を制限しません)。JavaScript

デフォルト: empty

JavaScript または Flash を含む特定のページで AppScan が繰り返し異常終了またはフリーズする場合は (これはトラフィック・ログを参照することで確認できます)、ここでそのページを定義することで問題が解決します。

JavaScript リンク・パターン

AppScan は、さまざまなパターンを使用して、JavaScript コード内のリンクを識別します。通常とは異なるパターンがサイトで使用されている場合は、それらをこの正規表現で定義する必要があります。

デフォルト: empty

AppScan が JavaScript コードのリンクを識別していないように思える場合で、サイトで通常とは異なる JavaScript のリンク・パターンが使用されている場合は、ここで 1 つ以上のパターンを定義して、検索対象を AppScan に通知します。

ローカライズ:

HTML エンコード

サイトの HTML 応答に定義されているエンコードをオーバーライドします。

デフォルト: empty

スキャン結果の応答の内容がゆがめられているように見える場合は、次のようなことが考えられます。

1) エンコード方式が AppScan によって正しく識別されなかった。または、

2) サイトの HTML でエンコード方式が間違って定義されている。

1 の解決法: 「探査オプション」ドロップダウン・リストから正しい方式を選択します。

2 の解決法: 正しいエンコード方式をここに入力します。

パラメーターおよび Cookie

冗長な JSON パラメーターをテストから除外

JSON コンテンツ・タイプの本文では、個別にテストする必要がない単一のパラメーターに複数の値を指定することができます。「True」に設定した場合、AppScan は、冗長な値を識別し、テストをサブセットに制限してスキャン時間の短縮を試みます。

デフォルト: 真

特定の重要なパラメーターがテストされなかったことを検出した場合は、設定を「False」に変更します。

冗長な XML パラメーターをテストから除外

XML コンテンツ・タイプの本文では、個別にテストする必要がない単一のパラメーターに複数の値を指定することができます。「True」に設定した場合、AppScan は、冗長な値を識別し、テストをサブセットに制限してスキャン時間の短縮を試みます。

デフォルト: 真

特定の重要なパラメーターがテストされなかったことを検出した場合は、設定を「False」に変更します。

ヘッダー内のカスタム・パラメーターを追跡

この設定は、ADAC v. 8.7.0.1 以前で保存されたスキャンにのみ適用されます。これ以降のバージョンでは、デフォルトの挙動は True に変更され、個々のパラメーターおよび Cookie の設定は以下のように制御されます。構成 > パラメーター/Cookiee > パラメーター定義 > オプションの追跡 > 一致: 「ヘッダーと本文」 (デフォルト) または「本文のみ」 (パラメーター定義を参照)。

デフォルトで、AppScan (8.7.0.1 以前) は、カスタム・パラメーターを応答の本文内でのみ検索し、応答のヘッダー内では検索しません。この設定を True に変更すると、AppScan はヘッダー内も検索するようになります。

デフォルト: False

応答ヘッダー内のパラメーターが変更されたことが原因となって、AppScan でセッションが無効になる場合は、この設定を変更することで問題が解決される場合があります。これを行うと、スキャン時間が長くなる場合があることに注意してください。

インライン・コンテンツが存在する場合のみテスト・ステージで動的パラメーターを追跡

テスト・ステージでの動的パラメーターの追跡により、パフォーマンス上の問題が起きる場合があります。したがって、デフォルトでは、テスト・ステージ中の動的パラメーターの追跡は、インライン・コンテンツを持つ応答でのみ行われます。

デフォルト: 真

この設定を False に変更するのは、この種の追跡が不可欠な場合のみに限定してください。

サーバー障害の検出:

探査で「サーバー障害」を確認

探査ステージ中のサーバー障害を確認するために、ハートビート要求の送信を有効にします。

デフォルト: 真

探査ステージで AppScan がサーバー障害エラーを受信するが、実際にはサーバー障害が発生していない場合は、頻繁なハートビート要求をサーバーがブロックしていることがエラーの原因である可能性があります。

スキャン中に AppScan で頻繁にセッションが無効になる場合は、開始 URL が Cookie なしのハートビートとしてサーバーに送信されていることが原因である可能性があります。

この設定を非アクティブにすると問題が解決される場合がありますが、AppScan がサーバーの状況を検証できなくなることに注意してください。

テストで「サーバー障害」を確認

テスト・ステージ中のサーバー障害を確認するために、ハートビート要求の送信を有効にします。

デフォルト: 真

テスト・ステージで AppScan がサーバー障害エラーを受信するが、実際にはサーバー障害が発生していない場合は、頻繁なハートビート要求をサーバーがブロックしていることがエラーの原因である可能性があります。

スキャン中に AppScan で頻繁にセッションが無効になる場合は、開始 URL が Cookie なしのハートビートとしてサーバーに送信されていることが原因である可能性があります。

この設定を非アクティブにすると問題が解決される場合がありますが、AppScan がサーバーの状況を検証できなくなることに注意してください。

探査ステージの再接続の試行

AppScan が探査ステージを終了しようとしており、その前にいくつかのテストが「サーバー障害」が原因となって失敗していて、サーバーがまだ停止している場合、AppScan はサーバーへの接続を何度か試行します。

デフォルト: 5

サーバーが過敏に反応することが分かっている場合、または複数の通信エラーが原因で複数のテストが失敗している一方で、1 回の通信エラーが原因でスキャンが停止している場合は、この数値を増やす必要があります。

要求再試行間隔

失敗した要求 (失敗したハートビート要求を含む) を再送するまでの秒単位の間隔。

デフォルト: 1

接続環境が良くない場合や、サーバーが不安定な場合 (これは、検出漏れや、範囲の縮小につながる場合がある)、影響を小さくするためにこの間隔を増やすことができます。

要求の再試行制限

失敗した要求の送信の再試行回数。

デフォルト: 2

サーバーが不安定である場合や、通信環境がよくない場合は、この設定を増やすとスキャンの効率が向上することがあります。

サーバー障害のタイムアウト

AppScan がサーバーに接続できなかった場合、またはセッションが無効になった場合は、AppScan でスキャンを停止する前に、この設定で定義された期間 (秒単位)、再接続またはセッションの再確立を試行します。

デフォルト: 185

接続速度が遅い場合、または障害後のサーバーの再ロードに時間がかかる場合は、この設定を増やすことをお勧めします。

サーバー障害のハートビート間隔

サーバー障害ハートビート間の秒単位の間隔。

デフォルト: 3 秒

最大: 60 秒

スキャン中に AppScan がサーバー障害エラーを受信する場合は、接続環境がよくないか、またはサーバーが不安定であることが原因である可能性があります。この間隔を増やすことによって問題が解決する場合があります。

テスト・ステージの再接続の試行

AppScan がテスト・ステージを終了しようとしており、その前にいくつかのテストが「サーバー障害」が原因となって失敗していて、サーバーがまだ停止している場合、AppScan はサーバーへの接続を何度か試行します。

デフォルト: 5

サーバーが過敏に反応することが分かっている場合、または複数の通信エラーが原因で複数のテストが失敗している一方で、1 回の通信エラーが原因でスキャンが停止している場合は、この数値を増やす必要があります。

セッション管理:

広告ドメイン

共通 Web 広告ドメインを表す正規表現。ログイン手順の記録中にこれらのドメインに送信された要求は破棄されます。

デフォルト: ad\d.googlesyndication| doubleclick\.net|coremetrics\.|webtrends\ .|112\.2o7\.net|view.atdmt.com| ad.yieldmanager.com|ads.adbrite.com| oasn04.247realmedia.com| segment-pixel.invitemedia.com"

ログイン手順はスキャン中に継続的に再生されるため、これらの不要な要求をフィルターで取り除くことにより、スキャンの効率を高めることができます。

正規表現を完全に削除すると、ドメインはフィルターでは取り除かれないことに注意してください。

ログインをやり直す前に Cookie を消去する

ログイン手順をやり直す前に、Cookie が削除されているかどうかを判別します。

デフォルト: 真

共通の静的パラメーター値

共通の静的パラメーター値。非ランダム・パラメーター値を検出するために使用されます。非ランダム・パラメーター値は、ログイン中にトラッキングされません。

デフォルト: |true|false|\bon\b|\boff\b|\ bout\b|checked|enabled|log\s?in|log\ s?out|exit|submit|sign|ever|disabled| agree

探査ステージのセッション内バッファリングの無効化

探査ステージ中: 要求の送信時にユーザーがセッション外であったことが要求に対する応答によって示されると、AppScan は、その要求を再送信するためにキューに格納します。これにより、可能な限り広範囲にサイトがスキャンされることになります。

デフォルト: False

サイトにより、ユーザーが頻繁にセッション外にスローされる場合は、セッション内バッファリングによって探査ステージが無限に続行されることがあります。このオプションを True に設定すると、探査ステージの処理速度は上がりますが、サイトの対象範囲が狭くなる可能性があります。

マルチステップ操作実行前のセッション内

デフォルトで、AppScan は、マルチステップ操作を再生する前にセッション内状況を検証します。

デフォルト: 真

未認証ユーザーでマルチステップ操作をテストする場合、またはマルチステップ・シーケンスにログイン手順が含まれる場合は、この設定を False に変更にします。

セッション内のハートビート間隔

セッション内ハートビート間の秒単位の間隔。

デフォルト: 5

スキャン中に AppScan でセッションが無効になる場合は、接続環境がよくないか、またはサーバーが不安定であることが原因である可能性があります。この間隔を増やすことによって問題が解決する場合があります。

ログイン・コンテンツ・タイプ・フィルター

ログイン手順およびマルチステップ操作手順からフィルタリングによって除去されるべきコンテンツ・タイプを定義する正規表現。ログイン手順またはマルチステップ操作手順が記録される際に、これらのコンテンツ・タイプのヘッダーを含むような応答を求める要求は、手順から除去されます。したがって、スキャン中に AppScan が手順を再生するときには、これらのコンテンツ・タイプのヘッダーを含む応答を求める要求は、手順の一部として送信されません。

デフォルト: text/javascript|application/javascript|

application/x-javascript|image|text/css

サイトのログイン手順、あるいは記録したマルチステップ操作のいずれかで、ここにリストされたコンテンツ・タイプのヘッダーを含むリンクをクリックする必要がある場合には、それを正規表現から除去してください。

ログインの再試行間隔

失敗したログイン要求を再送信する前の秒単位の間隔。

デフォルト: 3

AppScan でセッションが無効になり、ログイン再試行が繰り返し失敗する場合は、頻繁なログイン試行をサーバーがブロックしていることが原因である可能性があります。この間隔を増やすことによって問題が解決する場合があります。

マルチパート のコンテンツ・タイプ・フィルター

不要なメモリー消費を減らすために、特定のコンテンツ・タイプが自動的にマルチパート要求 (複数のコンテンツ・タイプを含む要求) からフィルターで除外されます。この正規表現で定義したコンテンツ・タイプのみがマルチパート要求に含まれ、他のものはすべてフィルターで除外されます。

content_without_content_type_header

デフォルト: text/|text/plain|application/javascript|

application/json|application/rtf|application/xml|

text/xml|content_without_content_type_header

重要なコンテンツ・タイプが要求からフィルターで除外される場合は、そのコンテンツ・タイプをこの正規表現に追加します。不要なコンテンツ・タイプを削除してそれらが送信されないようにすることで、メモリー消費量を減らすことができる場合もあります。

ナビゲーション・パラメーター・ホスト

ホストを表す正規表現。ナビゲーション・パラメーターを (値に基づいて) 検出するために使用されます。ナビゲーション・パラメーターはログイン手順で追跡されません。

デフォルト: https?://

サイトのナビゲーション・パラメーター内で、デフォルトの正規表現ではフィルターで除去されない独自のホストを使用している場合は、それらを追加することによりスキャン効率を高めることができます。

この項目を削除すると、ナビゲーション・パラメーターが正しく識別されなくなる可能性があります。

ナビゲーション・パラメーター・スクリプト

ナビゲーション・パラメーターを (パラメーター値に基づいて) 検出するために使用されるサーバー・サイド・スクリプトを記述する正規表現。ナビゲーション・パラメーターはログイン手順で追跡されません。

デフォルト: /[^/\.]+\.(htm|jsp|jsf|ws|dll|asp|php|do)

サイトのナビゲーション・パラメーター内で、デフォルトの正規表現ではフィルターで除去されない独自のサーバー・サイド・スクリプトを使用している場合は、それらを追加することによりスキャン効率を高めることができます。

この項目を削除すると、ナビゲーション・パラメーターが正しく識別されなくなる可能性があります。

ナビゲーション・パラメーター

ナビゲーション・パラメーターを表す正規表現。ナビゲーション・パラメーターはログイン手順でトラッキングされません。

デフォルト: \bnav|url|page|step|redirect|request|

location|target|argument|item|article|

goto|node|action|ctrl|control|source|

menu|frame|command

デフォルトの正規表現ではフィルターで除去されない独自のナビゲーション・パラメーターをサイトで使用している場合は、それらを追加することによりスキャン効率を高めることができます。

この正規表現を変更すると、スキャンの範囲が不十分になったり、セッションを正しく追跡できなくなったりする可能性があります。

セッション内ページの解析

False に設定すると、AppScan は、セッション内ページの解析を実行しません。また、セッション内ページで変更された値を持つ追跡対象パラメーターまたは Cookie を更新しません。

デフォルト: 真

セッション内ページに追跡対象 Cookie またはパラメーターが存在しない場合、この設定を False に変更することで、パフォーマンスを向上させることができます。False に設定すると、AppScan は、セッション内ページの Cookie またはパラメーターの値を更新しません。これにより、セッションが無効になる可能性があります。

ハートビート間の要求数

AppScan は、セッション内検出要求を送信した後、別のセッション内検出要求を送信する前に、少なくともここで定義した数の要求を送信します。

デフォルト: 1

サーバーからの応答が遅いために、スキャンがほとんどセッション内検出要求で構成される場合は (トラフィック・ログを参照)、この値を増やすことによってスキャン時間を短縮できます。

特別なパターン:

フォームの自動入力から除外

ここにリストするパラメーター名は、フォームの自動入力から除外されます。

デフォルト: ^CFID __EVENTVALIDATION __VIEWSTATE ^CFTOKEN __EVENTARGUMENT __EVENTTARGET ^BV_ 

値が非常に長いパラメーターを指定すると、スキャンが遅くなり、ファイル・サイズが大きくなります。値が非常に長いパラメーターをアプリケーションで使用する場合で、それらのパラメーターがフォームの入力に不要な場合は、それらのパラメーターをこのリストに追加します。

テスト (Tests):

CSRF: 意味のある要求のパターン

デフォルトで、AppScan は、POST 要求、および応答が「トランザクション成功 (Transaction Successful)」であった要求を対象として、クロスサイト・リクエスト・フォージェリーのテストを実行します。

この設定を使用すると、POST 要求だけでなく、その他の要求も、クロスサイト・リクエスト・フォージェリー脆弱性において「意味のある」要求として定義できます。

この定義は、「CSRF: 意味のある応答のパターン」と組み合わせて使用されます。

デフォルト: ^POST

GET 要求に対してもクロスサイト・リクエスト・フォージェリーのテストを行う場合は、この正規表現を変更してください。

CSRF: 意味のある応答のパターン

デフォルトで、AppScan は、POST 要求、および応答が「トランザクション成功 (Transaction Successful)」であった要求を対象として、クロスサイト・リクエスト・フォージェリーのテストを実行します。

この設定を使用すると、「トランザクション成功 (Transaction Successful)」応答だけでなく、その他の応答も、クロスサイト・リクエスト・フォージェリー脆弱性において「意味のある」応答として定義できます。

この定義は、「CSRF: 意味のある要求のパターン」と組み合わせて使用されます。

デフォルト: トランザクション成功

他の種類の応答を受け取る要求についてクロスサイト・リクエスト・フォージェリー脆弱性テストを行う場合は、それらの応答をこの正規表現で定義してください。

Cookie のテストを無効にする

この設定は、Cookie テストを完全にオフにするために使用します。

デフォルト: False

アプリケーションの Cookie テストを実行するとスキャンに非常に時間がかかる場合は、テストを無効にすることもできます。ただし、これによって、セキュリティー問題が見落とされる (検出漏れが発生する) 可能性があります。

静的コンテンツに対する Cookie のテストを無効にする

この拡張子を持つページに対する要求では Cookie をテストしません。

デフォルト: ;htm;html;ahtm;ahtml;

chtm;chtml;fhtm;fhtml;mht;

mhtm;mhtml;css;css1;js;

スキャン時間およびメモリー消費量を削減するために、その他のタイプのページ拡張子も対象から除外したい場合があります。その場合は、それらをセミコロンで区切って、除外する拡張子のリストに追加します。

ディレクトリーまたはページをテストしない

このオプションを使用すると、テスト・ステージ中の攻撃から特定のディレクトリーまたはページを除外する正規表現を定義できます。定義されたディレクトリーまたはページのみが除外され、サブディレクトリーまたはファイルは除外されないことに注意してください。

デフォルト: /wps/[^/]*/!ut/

特定のディレクトリーまたはページが脆弱でないことがわかっている場合や、特定のディレクトリーまたはページをテストするとサイトの安定性が損なわれる可能性がある場合は、それらのディレクトリーおよびページをこの正規表現で定義して、スキャン対象から除外できます。

フォルダーおよびそのすべてのサブフォルダーを除外する方法については、除外するパスおよびファイルを参照してください。

すべての応答からリンクを抽出

デフォルトで、AppScan は、テスト・ステージにおける新しいリンクの検索を、脆弱な応答内のみを対象として実行します。

デフォルト: False

AppScan がリンクを認識していない可能性があるか、範囲が十分ではないと考えられる場合は、この設定を有効にすることができます。ただし、これによって、スキャン時間が長くなり、ファイル・サイズが増えます。

すべての自動リンクを参照

デフォルトで、AppScan は、脆弱性が含まれている可能性がある自動リンク* のみを参照します。これらは、以下のとおりです。iFrame、Frame、および Redirect です。すべて のタイプの自動リンクを参照するように AppScan を構成できます。

「無視する自動リンク」で定義されている正規表現に一致する要求は、この設定に関係なく、常に送信されない ことに注意してください。

デフォルト: False

他のタイプの自動リンク (スクリプトなど) の脆弱性がサイトに含まれていると考えられる場合は、この設定を有効にします。これにより、スキャン時間が長くなり、ファイル・サイズが増えます。

テスト後にログイン

テストを単一スレッドで送信して、セッション内を検証するか、各テスト後にログイン手順を送信します。

0 = False

1 = テストを単一スレッドで送信して、各テスト後にセッション内を検証します。セッション無効の場合、ログイン手順を送信します。

2 = テストを単一スレッドで送信して、各テスト後にログイン手順を送信します。

デフォルト: 0

設定 1 または 2 は、重要セッションを使用するアプリケーションに必要な場合もありますが、セッションやメモリーの問題を回避するために、頻繁なログアウトを必要とします。その場合、スキャン時間がかなり長くなります。

マルチステップ操作検証限界値

クロスサイト・スクリプティング・テストで検証されるマルチステップ操作シーケンスからの連続した要求の最大数。

デフォルト: 0

応答内で無視するパターン

この正規表現は、テスト応答の分析時に AppScan が無視する応答のセクションを定義します。

テストが成功したかどうかを判別するために応答を比較するときに、AppScan は、応答全体での変更率を測定します。応答が非常に長く、変更がごくわずかの場合、AppScan は差異を見逃し、脆弱性を認識しない可能性があります。

デフォルト: <input[^>]+(__VIEWSTATE|__

EVENTTARGET|

__EVENTARGUMENT|

__EVENTVALIDATION)

[^>]+>

サイトが重要ではない長いセクションを含む応答を送信する場合は、それらのセクションをここに定義することによってスキャンの精度とパフォーマンスが向上する場合があります。

オリジナルの応答の間隔を更新する

テスト・ステージ中に (要求を再送信して) オリジナルの応答を更新するまでの間隔 (秒数)。

テスト応答が脆弱性を示しているかどうかを AppScan が判別する方法の 1 つは、それを探査応答と比較する方法です。探査応答が、ここで設定された値より古い場合、テストを送信する前に探査要求が再送信されます。それにより、更新された探査応答を比較に使用できるようになります。これは、探査応答が時間によって変化する可能性が高く、テスト応答を古い探査応答と比較することで誤った結果になる可能性がある場合には重要です。

デフォルト: 30 (秒)

ご使用のアプリケーションの応答がこの方法で古くて使用できないものになることがないことが明らかな場合は、この設定をゼロに変更してスキャン時間を削減することができます。探査ステージ要求が再送信されることはありません。

ポート・リスナー・テストの送信

デフォルトで、AppScan は、ポート・リスナー・テストを送信しません。これは、テストが失敗する可能性が高く、検証に長い時間がかかるためです。

デフォルト: False

ネットワークに外部サイトが含まれている場合は、そのサイトがローカル IP アドレスを認識できるように、このタイプのブラインド SQL 注入テストをアクティブにすることができます。

類似性のしきい値

一部のテストでは、受信した応答を元の応答と比較して、応答が類似しているかどうかを判断し、それによりテストが成功したかどうかを判別します。多くのテストでは類似性のしきい値は 95% です。一部のテスト・ポリシーでは、この値はもっと高くなります。

1 と 100 の間の値 (%) を入力すると、個々のテストのしきい値はオーバーライドされます。

デフォルト: 0 (AppScan のしきい値を使用)

類似の応答にわずかな相違を生じさせる原因となる「動的」テキストがご使用のサイトにない場合は、このパーセンテージを大きくすることにより、誤検出結果が少なくなる場合があります。

XSS: 反映されたプローブをすべてテスト

通常、特定のペイロード・テキストがサイトからの応答に複数含まれている場合、それらの脆弱性レベルはすべて同じであるため、AppScan はそれらのうちの 1 つだけをテストします。

デフォルト: False

単一の応答内でペイロード・テキストのすべての 出現箇所をテストする場合は、これを True に設定します。