製品の参照情報を確認します。
フォルダー・エクスプローラーのトピックについて説明します。
フォルダー・エクスプローラーでスキャンを作成する方法について説明します。
ウィザード・トピックの設定について説明します。
フォルダー・エクスプローラーの使用方法について説明します。
クイック・スキャン・テンプレートは、コンテンツ・スキャン・ジョブ、またはインポート・ジョブとレポート・パックから構成されます。フォルダー・リスト内の「テンプレート」フォルダーにスキャン・テンプレートを作成すると、それらは自動的に、クイック・スキャン・ユーザーや、「フォルダー・エクスプローラーの表示」リストでクイック・スキャン・ビューをオンにしているさらに上級のユーザーが、スキャン・テンプレートとして使用できるようになります。クイック・スキャン・ユーザーがスキャンを作成すると、テンプレートに基づいてジョブとレポート・パックが作成されますが、それらはクイック・スキャン・ユーザーにはスキャンとしてのみ表示されます。
最小の構成で基本的なスキャンを構成するには、このタスクを使用してください。このスキャンは、Web アプリケーションでのテスト対象となる URL をより多く自動的に検出します。多くの静的リンクがあって多数のユーザー対話を必要としないアプリケーションでは、この方法を使用します。このスキャンは、セキュリティー問題のテストは行いませんが、サイトの完全な対象を判別するために、サイトの探査を開始する際に役立ちます。
セキュリティー・スキャンを、ステージング・サーバーまたは品質保証サーバーなど、 実動前環境で実行する必要があります。これを行うことによって、セキュリティー・スキャン実行に関連するリスクを 含めることに役立ちます。実動前環境は、可能な限り実稼働環境と同じである必要があります。アプリケーションは、両方の環境に同じ実行可能ファイルを保有する必要があり、これによって公開済みアプリケーションを完全にテストできます。また、セキュリティー・スキャンは、ソフトウェア開発ライフサイクル (SDLC) のプロセスに統合する必要があります。これによって、実稼働環境で発生する前にセキュリティーの問題を把握することができます。
セキュリティー・スキャンには、探査とテスト。
セキュリティー・スキャンは、Web アプリケーション上のすべての URL を検索して、それらに対して脆弱性に関するテストを実行できるように、注意して構成する必要があります。
HCL AppScan Enterprise は、組織が Web アプリケーションおよび Web API 用のアプリケーション・セキュリティー・プログラムを管理できる、スケーラブルなエンタープライズ・ソリューションです。セキュリティーの脆弱性を特定するための最先端の手法および技術を備えており、アプリケーションをサイバー攻撃の脅威から保護するのに役立ちます。
JavaScript™ Security Analyzer (JSA) は、JavaScript ソース・コードの静的分析を実行して、クライアント側のさまざまな問題 (主に DOM ベースのクロスサイト・スクリプティング) を検出します。JSA は、探査ステージで AppScan® Enterprise が収集した HTML ページを分析します。JSA は、テスト・ステージと並行して実行することができます。または、既存の探査結果を対象として、手動で随時起動することができます。
複雑な構成の詳細スキャンを構成するには、このタスクを使用します。アプリケーションをナビゲートするために多くのユーザー対話が必要な Web アプリケーションの場合、またはアプリケーションの特定のエリアのみをテストしたい場合には、この方法を使用します。
AppScan Standard のアクション・ベースのログイン機能は、要求だけではなく、ブラウザー内でのユーザーの実際のアクションを生成し、その手順をブラウザーで再生します。この機能は、AppScan Standard でアクション・ベースのログインを作成し、それを AppScan Enterprise にインポートすることで利用できます。これにより、スキャン中のセッション無効イベントを回避することができます。
AppScan® Standard バージョン 7.x 以降からエクスポートしたデータを AppScan Enterprise にインポートできます。このデータをインポートすると、時間を節約したり、無駄な労力を減らすことができます。AppScan .exd ファイルからの URL (パラメーターおよびドメイン) および HTTP 要求のみがインポートされます。
インポート・ジョブはデータ・ファイルから結果を取得し、それを AppScan® Enterprise Server データベースに統合します。インポートされたデータは、レポートおよびダッシュボードの作成に使用できます。また、コンテンツ・スキャン・ジョブからのデータと結合して、問題の全体像を作成できます。
レポートは、ジョブの実行後に自動的に生成されます。このレポートを使用することで、組織にとって重要な問題の管理を、Enterprise Console のワークフローおよび組織の他のプロセスのワークフローの両方でサポートされる方法で行うことができます。