セッション内検出の最適化
ログイン手順を確認することは、セッション内検出のトラブルシューティングおよび最適化を行うのに役立ちます。
このタスクについて
AppScan は、セッション内ページで行われる「セッション内検出パターン」を自動識別しようとします。スキャン中にこのページを使用して、まだログイン状態であることを確認できます。これは、ログインしている場合にのみページ応答で発生するパターンです。例えば、「ログアウトするにはここをクリック」というテキストが示される場合があります。
スキャン中、AppScan はセッション内要求を繰り返し送信し、応答に「セッション内検出パターン」が含まれていることを確認します。AppScan が、ページの応答でこのパターンを検出しなかった場合、AppScan は、ログアウト状態であると見なし、ログイン手順をやり直してログインを再試行します。その結果、通常はスキャン中にログイン手順が何回も繰り返されることになります。そのため、ログイン手順は可能な限り少ないステップで構成することが推奨されます。また、「セッション内」ページが小規模なページであり、追跡パラメーターや Cookie が存在しない場合も、スキャン時間が大幅に増加する可能性があるため、ステップを少なくすることが効果的です。
セッション内要求で定義済みのセッション内パターンが検出された場合 (POST 要求の直後の要求)、その要求は緑色で強調表示されます。
手順
- 自動選択された「セッション内検出パターン」が、ユーザーがログインしていることを実際に示しているかどうかを検証します。必要に応じて、変更します。
- ログイン手順に不要なステップがないことを確認します。不要なステップがある場合は、削除します。
- セッション内応答が大規模でないことを確認します。また、可能であれば、追跡対象パラメーターまたは Cookie が含まれないようにします。必要に応じて、ページが小規模になるように 1 つ以上のステップを追加するか、追跡対象項目がページに含まれないようにします。
- 追跡対象パラメーターおよび Cookie が含まれないセッション内ページを選択できれば、AppScan は、ログインするたびにそれらの項目を検査する必要がなくなります。「詳細構成」>「セッション管理: セッション内ページの解析」へ移動して、設定を「False」に変更します。
- これらのいずれも正常に完了しない場合は、代わりにセッション無効パターンを識別し、検出方法を変更してみてください。