ブラウザーを使用したログインの記録
始める前に
ログイン手順を記録するには、その前に 「URL およびサーバー」ビューで開始 URL が定義されていなければなりません。
このタスクについて
「記録されたログイン」では、サイトにログインする手順 (どのリンクをクリックするか、どのテキストをフォームに入力するか、およびそれらを行う順序) を ADAC に指示します。これを記録すると、すぐに AppScan は、ログインしていることを確認するために今後使用できるセッション内パターンを識別しようとします。これが完了すると、AppScan はログアウトしたことを検出したときに、ログイン手順を使用してスキャン中にログインし直すことができます。
ADAC は、サイトの応答を正確に評価できるよう、常にサイトへのログインおよびログアウト状態を把握している必要があります。スキャン中、ADAC はセッション内検出要求を繰り返し送信し、応答にセッション内検出パターンが含まれているかどうかを確認して、ログインしていることを検証します。ADAC がページの応答にパターンを見つけない場合、AppScan はログアウトされたとみなし、ログイン手順を再生して再度ログインを試みます。その結果、通常はスキャン中にログイン手順が何回も繰り返されることになります。そのため、ログイン手順は可能な限り少ないステップで構成することが推奨されます。また、「セッション内」ページが小規模なページであり、追跡パラメーターや Cookie が存在しない場合も、スキャン時間が大幅に増加する可能性があるため、ステップを少なくすることが効果的です。
手順
- 「ログイン管理」>「ログイン 」タブで、「記録済み」を選択します。
-
> 「AppScan Chromium ブラウザー」をクリックします
ブラウザーが開始 URL に対して開き、アクションを記録し始めます。注: スキャンに外部ブラウザーを使用するように AppScan® を構成している場合 (「オプション」>「外部ブラウザーの使用」>「ブラウザーの選択」)、ログインの記録に AppScan ブラウザーまたは外部ブラウザーのどちらを使用するかを選択できます。可能な場合は、ログインの記録には AppScan ブラウザーを使用することをお勧めします (スキャンに異なるブラウザーを使用している場合でも)。AppScan ブラウザーではスキャン中のログインの成功率を向上させるような追加の情報を記録するためです。AppScan ブラウザーでのログインの記録がご使用のアプリケーションでは作動しない場合は、外部ブラウザーを使用してください。注: 開始 URL がまだ定義されていない場合、先に進む前に定義するように警告されます (URL およびサーバーを参照してください)。
- サイトにログインし、必要に応じてフォームに入力し、リンクをクリックします。ヒント: デフォルトでは、ログインしたときに表示されるページが、セッション内 URL として AppScan で使用されます。ADAC は、スキャン中にこの URL を数秒間隔で送信し、ログインしているかどうかを確認します。このページからサイズの大きな応答が送信された場合、またはこのページに追跡対象のパラメーターや Cookie が含まれている場合は、追跡対象のパラメーターや Cookie が存在せず、サイズの小さな応答を持つページ (まだログイン中のページ) に到達するまで 1 つ以上の追加のリンクをクリックすることにより、スキャンのパフォーマンスを改善することができます。次に、ブラウザーを閉じて 「レビューと検証」タブに移動し、「セッション内 URL」として後の ページを選択します。
- サイトに正常にログインしたら、「サイトにログインしています (I am logged in to the site)」をクリックします。ADAC が、スキャン時に使用するために、ログイン情報をログイン要求から抽出しようとします。注: 場合によっては、ログイン・ページで提供される情報に不備があります。その場合は、ログイン後に追加のステップをクリックするように、またはサイトからログアウトするように AppScan に指示される場合があります。注: ログイン・メカニズムが JavaScript™ を使用してログイン・データを操作する場合は、ダイアログ・ボックスが開き、ADACが抽出したログイン・データが正しいかどうかを確認するよう求められることがあります。必要に応じて、パラメーターや値を入力または修正して、「OK」をクリックします。
「セッション情報」ダイアログ・ボックスが開き、記録したログイン要求が表示され、 が に変わります。これは、そのセッション内検出が有効であることを示します。
注: 鍵アイコンが赤色 になった場合は、ADAC が、スキャン中に使用できるセッション内ページのパターンの識別を試みたが、ログアウトしていないことを確認できなかったということです。こうなった場合は、ADAC の「セッション内パターン」を識別する必要があります。詳しくは、「検出パターンの選択」ダイアログ・ボックスを参照してください。場合によっては、より具体的なメッセージが表示され、この問題のトラブルシューティングに関するこのヘルプ内のページへのリンクが示されることがあります。ログインのトラブルシューティングを参照してください。 - 記録された手順に変更を加える (例えば、不要なステップを除去する) には、レビューと検証タブを参照してください。ヒント: 一般に、ユーザーがログインで使用する URL は、「セッション内」としてマークされています (この応答は、セッション内パターンが含まれる最初の応答です)。ただし、後で、セッション内パターンも含まれるが、より小規模なページ、または追跡対象パラメーターや Cookie が含まれないページという利点がある URL を選択することが必要な場合もあります。さらに、ユーザー資格情報を使用する POST 要求が、ユーザーがログインする要求であり、最初にセッション内パターンが含まれている場合があります。セッション内ページでは、セッション内検査が毎回資格情報を送信することでセッション応答での誤検出につながるため、これは不適切な選択です。参照 セッション内検出の最適化
- 新規のログイン手順を保存するには、「OK」をクリックします。ヒント: セッション内ページに追跡対象のパラメーターと Cookie が含まれていないことがわかっている場合は、「詳細構成」 > 「セッション管理: 「セッション内ページの解析」設定を False に変更すると、スキャンのパフォーマンスを改善することができます。詳細構成を参照してください。