ワンタイム・パスワード (OTP)

アプリケーションで必要な場合は、ログイン時に OTP を使用するよう AppScan® を構成します。

アプリケーションで OTP を使用する場合は、2 つのオプションのいずれかを選択します。それ以外の場合は、デフォルト設定のままにします。なし。

ログイン手順を記録すると、AppScan はトラフィックから関連パラメーターを抽出し、それらを「フォームの自動入力」リストに追加します。また、OTP ビューの下部にも表示されます。AppScan がパラメーターの識別に失敗した場合は、このビューまたは「フォームの自動入力」ビューで、パラメーターをユーザー自身で追加する必要があります。
制限:
  • スキャンごとにサポートされる OTP タイプ (TOTP または URL 生成) は 1 つのみです。
  • TOTP の場合、数値のみサポートされます。
オプション 説明

TOTP

時間ベースのワンタイム・パスワードの場合は、AppScan に以下の情報を提供する必要があります。
  • 秘密鍵
  • パスワードの長さ (文字数)
  • 使用するハッシュ・アルゴリズム (ドロップダウンから選択)
  • 時間ステップ (秒)
ヒント: AppScan マシンとテスト済みサーバーの両方の時間が正確である必要があります。

URL 生成 OTP

指定された URL から OTP にアクセスできる場合、URL の応答から抽出するよう AppScan を構成できます。AppScan には、以下の情報を提供する必要があります。
  • URL
  • URL の応答で OTP を識別する正規表現

None

OPT はサイトで使用されていないか、OTP を必要としないページをスキャンしています。

詳細

OTP HTTP - パラメーター

OTP タイプの 1 つを選択した場合、記録されたログイン手順を検証すると、AppScan はトラフィックに必要なパラメーターを識別し、それらを「フォームの自動入力」リストに追加します。それらのパラメーターは、ここにも表示されます。

AppScan® がパラメーターの識別に失敗した場合、または自動ログインを使用する場合は、ユーザー自身でパラメーターを追加する必要があります。パラメーターはコンマ区切りである必要があります。

OTP HTTP パラメーターの識別方法

AppScan は、アプリケーションにログインできるようにするために、OTP を含むパラメーターの名前を知っている必要があり、通常は記録されたログイン手順を検証するときにそれを識別します。これが失敗した場合、または自動ログインを使用する場合は、ユーザー自身でパラメーターを追加する必要があります。

パラメーターを識別するには、以下のようにします。
  1. ブラウザーを開き、アプリケーションのログイン・ページに移動します。
  2. F12 をクリックして、ブラウザーの開発者ツール・ペインを開きます (メイン・ブラウザー・ペインの右側または下に開きます)。
  3. 「エレメント」タブをクリックして、HTML コードを表示します。

    コードの一部を選択すると、メイン・ブラウザー・ペインでエレメントが強調表示されます。

  4. OTP フィールドを強調表示するエレメントを見つけます。
    例:
    <input type="text" name="OTPvalue" value="">
  5. name パラメーターの値 (引用符なし) が、必要な OTP HTTP パラメーターです。
    例:
    OTPvalue
  6. 複数の OTP HTTP パラメーターがある場合は、コンマで区切ります。