.NET IAST エージェントの配置

Java、.NET、Node.js または PHP ベースのアプリケーションをサポートするアプリケーション・サーバーに IAST エージェントを配置できます。このセクションでは、Web サーバーで .NET エージェント・タイプを作成する方法について説明します。

始める前に

IAST を実行しているサーバーがプロキシーの背後にある場合、IAST .NET エージェントは、アウトバウンド HTTP プロキシーを構成する 2 つの方法をサポートしています。
  1. システムプロキシー設定。標準 OS 設定または HTTP_PROXY, HTTPS_PROXY 環境変数から自動的に検出されます。
  2. IAST 固有のプロキシー設定。アプリケーション独自の環境変数で定義されています。次のように構成します。
    IAST_PROXY_HOST={proxy_ip}
                            IAST_Deploy_dot_net.html

アプリケーション固有の変数が設定されている場合は、それらが優先されます。設定されていない場合は、システムプロキシーが使用されます。どちらも定義されていない場合、アプリケーションは直接接続します。プロキシー設定は起動時に読み込まれます。変更には再起動が必要です。IAST ログを確認して、プロキシーが正しく設定されていることを確認します。

このタスクについて

NuGet パッケージ・マネージャーを使用して、IAST エージェントをアプリケーションに追加します。以下の例は Visual Studio に適用されますが、この手順は他の ID でも同様です。

手順

  1. NuGet パッケージ・ソースの構成:
    1. Visual Studio を開き、「メニュー」>「ツール」>「オプション」>「NuGet パッケージ・マネージャー」>「パッケージ・ソース」に移動します。
    2. SecAgent パッケージを含むフォルダーを選択します。
    3. + 符号をクリックし、新しいソースに名前を指定します。
  2. Web サーバー・プロジェクトの特定: IAST エージェントは、通常 Web コンテンツの提供を担当する Web サーバー・プロジェクト (ASP.NET Core または ASP.NET MVC プロジェクトなど) にのみインストールする必要があります。Startup.csControllers、または wwwroot フォルダーなどのファイルを検索して、これらのプロジェクトを特定します。
  3. IAST Agent NuGet のインストール: ソリューション・エクスプローラーで、Web サーバー・プロジェクトを右クリックし、「NuGet パッケージの管理」を選択します。com.HCL.AppScan.IAST.agent を検索し、結果の最初のパッケージを選択します。「インストール」をクリックします。ソリューション内の各 Web サーバー・プロジェクトについて、このステップを繰り返します。
  4. 環境変数の設定 (.NET Core のみ): .NET Core を使用している場合は、次の環境変数を設定します。 
    "ASPNETCORE_HOSTINGSTARTUPASSEMBLIES": "SecagentCore"
  5. インストールの確認: インストールが正常に完了したことを確認します。
    1. .NET Framework の場合: web.config ファイルを開き、NuGet インストールによって次の行が追加されていることを確認します。これらの行が自動的に追加されない場合は、インストールが失敗したことを示します。 
      <system.webServer>
                                    <modules>
                                      <add name="SecagentModule" type="Secagent.SecagentModule" preCondition="managedHandler" />
                                    </modules>
                                  </system.webServer>
                                ...
                                  <appSettings>
                                    <add key="IASTAgentKey" value="<token to access ASoC IAST session>" />
                                    <add key="IASTHost" value="URL to ASoC host, e.g. /https://cloud.appscan.com/IAST/" />
                                    <add key="IASTActive" value="true" />
                                  </appSettings>
    2. .NET Core の場合: プロジェクトのルート・フォルダーに asoc-config.json ファイルが追加されていることを確認します。

タスクの結果

IAST エージェントは、アプリケーションの使用またはテスト (機能テストの実行、ダイナミックスキャンの実行、または手動でのアプリケーションの探索) 時に、リクエストを監視し、セキュリティーの問題を報告します。