記録された探査
「記録された探査」機能を使用すると、アプリケーションの特定の部分をクロールし、それぞれの領域に ASoC を「ガイド」できます。それにより、該当する領域が DAST スキャンでテストされ、特定の順序でリンクを参照するために必要な情報を ASoC に持たせることができます。
「記録された探査」は、特定のユーザー入力が必要である場合や、サイトが別のタイプのツールやデバイスのみに応答する場合に使用します。
- AppScan Activity Recorder (Chrome または Edge Web ブラウザー用の拡張機能) の使用
- HCL AppScan Traffic Recorder の使用 (Web API の場合に最適な可能性あり)
DAST.CONFIG ファイルとして保存されます。あるいは、.EXD ファイルとして保存されている AppScan Standard または AppScan Dynamic Analysis Client (ADAC) を使用して、記録されたトラフィック・ファイルをアップロードすることもできます。
複数のドメインを持つファイルをアップロードすると、ドメインが「テストするドメイン」リストに追加されます。許可されたドメインまたは検証されたドメインのみがテストされます。 ASoC は、各スキャンでスキャンできるドメインは 5 つまでです。
- 記録された探査でのファイル・オプションの使用:
- 「記録された探査ステージと自動探査ステージの両方を使用して包括的なテストを実施」: 自動探査ステージに加えて、ASoC でアプリケーションを自動的に探査し、記録データと独自の探査データの両方をテストします。
- 「記録された探査データのみを分析してテストする」: スキャンの探査ステージ中に、記録に含まれているアプリケーションの一部のみをテストします。
- AppScan Standard のマニュアル探査を使用し、
SCANファイルとして保存し、ファイルを ASoC にアップロードしてスキャンを作成します。AppScan Standard のマニュアル探査は、ASoC の 記録された探査と同様です。
記録された探索は、DAST スキャンにのみ適用されます。DAST.CONFIG または .EXD ファイルがアップロードされ、スキャン・ウィザードの探査ステージでガイダンスが構成されます。DAST スキャン設定の「探査」ステップを参照してください。
トラフィックを記録する方法について詳しくは、「トラフィックの記録」を参照してください。
マルチステップ探査
マルチステップ探査は、特定のタイプの記録された探査です。この探査では、ASoC でどのリンクをクロールするかが表示されるだけでなく、クロールする特定の順序も表示されます。ユーザーが品目をカートに追加し、まだ支払いを行っていないオンライン・ショップなど、要求を特定の順序で送信することによってのみ到達できるサイトの部分をテストするには、マルチステップを使用します。
- ユーザーがショッピング・カートに 1 つ以上の品物を追加します。
- ユーザーが支払いと配送方法の詳細を入力します。
- ユーザーが、この注文が完了した確認を受け取ります。
DAST.CONFIG) が保存されます。 ASoC では、必要に応じて、このシーケンスから必要なサブシーケンスを抽出します。ページ 2 をテストすると、最初にページ 1 の要求が送信されます。ページ 3 をテストすると、ページ 1 に続いてページ 2 が送信されます。複数の DAST.CONFIG ファイル
1 回のスキャンで複数のファイルをアップロードできます。マルチステップがアクティブになっている場合は、その設定がすべてのファイルに適用されます。DAST スキャン設定の「探査」ステップを参照してください。