動的スキャン (DAST)
ASoC ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。ASoC で利用可能な設定オプションを使用するか、AppScan Standard の設定 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。
DAST スキャン・ウィザードには、以下の 3 つのパスがあります。
オプション | 説明 |
---|---|
新規スキャンの作成 | ASoC ウィザード・オプションを使用してスキャンを設定して実行します。
|
テンプレート・ファイルのアップロード | AppScan Standard テンプレート (SCANT) ファイルがある場合は、そのファイルを ASoC スキャンの設定として使用できます。これにより、AppScan Standard で使用可能なすべての設定オプションを利用できます。AppScan Standard テンプレートには、ログイン記録とマルチステップ設定も含まれます。 テンプレートにはマニュアル探査は含まれていませんが、トラフィック記録 (DAST.CONFIG ファイル) をアップロードして、アプリケーションの特定の部分が確実にカバーされるようにすることができます。 |
スキャン・ファイルのアップロード | AppScan Standard スキャン (SCAN) ファイルがある場合は、そのファイルを ASoC スキャンの設定として使用できます。 マニュアル探査、マルチステップ操作、SCAN ファイルに保存された Postman コレクションなどの Web API ファイルがスキャンに組み込まれます。 フル・スキャンを実行することも、ファイルから既存の探査日付を使用して、スキャンのテスト・ステージのみを実行することもできます。 |
Web API のスキャン
Web API をスキャンする場合は、以下の点に注意してください。
- 自動探査は Web API では機能しないため、トラフィック記録を指定する必要があります。参照 トラフィックの記録
- Postman コレクションがある場合は、次のいずれかを実行できます。
- REST API を使用して Postman コレクション・ファイルをアップロードします。REST API を使用すると、次のように .scan ファイルを必要とせずにスキャンを開始できます。
- Postman コレクションを AppScan Standard にインポートし、SCAN ファイルとして保存してから、スキャン・ファイルからの新規スキャンの作成できます。
関連トピック
- トラフィックの記録
- AppScan Standard スキャンまたはテンプレートの使用
- クライアント証明書を使用するサイトのスキャン
- インターネットからは使用できない Web アプリの AppScan Presence の作成