セキュリティー・スキャンの仕組み
セキュリティー・スキャンには、探査とテストという 2 つの別個のフェーズがあります。
探査フェーズ
コンテンツ・スキャン・ジョブを実行すると、次のように探査フェーズが開始されます。
- スキャンが、ユーザーに代わってアプリケーションをクロールします。クロールは、ジョブのプロパティーで指定した開始 URL から開始されます。アプリケーション内の、フィルターで除外対象にされていないすべてのリンクを見つけようとします。スキャン制限などのスキャンのすべての制約事項が、探査プロセスに対して適用されます。
- アプリケーション内の URL のリストが作成されます。
- セキュリティー・テストを実施するために必要な情報を得るために、URL が分析されます。
テスト・フェーズ
探査分析の結果を使用して、テスト・フェーズが開始されます。この分析に基づいて、AppScan® Enterprise Server によってテストが作成され、次の処理が行われます。
- フィンガープリントを送信します。この送信は、スキャン開始時に Web マスターに対して、これから行う一連の要求がセキュリティーの問題に関して Web サーバーをテストするためのものであることを通知する特別な要求です。
- アプリケーション内で、認証を必要とする各 URL にログインします。
- URL に対して予備的なテストを実施します。これは結果の解釈に役立ちます。
- セキュリティーの問題を明らかにすることを目的とした要求を送信して、URL をテストします。さまざまなバリアントで、要求を再送信します。パラメーターごとに約 40 個のバリアントがあります。これらの要求の一部はサーバーによって拒否されますが、大部分はサーバーを通過し、AppScan Enterprise Server によって処理されます。
- 各要求に対する応答を記録します。この記録は、「この問題の情報」レポートで確認できます。「この問題の情報」レポートを開くには、Issue numberをクリックします。
- テスト結果を判断します。