クイック・スキャンの「設定」タブのコントロール

クイック・スキャン・ユーザーは、使用するテンプレートによって以下のコントロールの一部またはすべてを使用することができます。

スキャン名

スキャンの名前は、デフォルトでは前のページで入力した開始 URL (および任意の固有 ID) になります。ただし、必要な場合はさらに分かりやすい名前に変更することもできます。

スキャン対象 URL

ご使用のアプリケーションを探査した際に、クイック・スキャンはこれらの URL を識別し、ログイン URL または通常の URL として分類しています。また、セッション内ページが検出された場合は、それも分類されます。セッション内ページになれるのは、1 ページのみです。

ページを再分類する方法: 上矢印または下矢印ボタンをクリックして、リスト内でページを「ログイン・ステップ」バーの上または「探査」バーの下に移動します。

セッション内ページを指定する方法: 強調表示されている URL がセッション内ページとして使用するページではない場合、目的のページに対応するチェック・ボックスを選択して、「セッション内」ボタンをクリックします。セッション内とマークが付いたページより下に分類行を移動すると、セッション内分類が除去されることに注意してください。

URL を追加する方法: 必要な場合はログインを記録し直すか、または URL をさらに探査してリストを完全なものにします。

許可: リスト内の各 URL をスキャンすることが許可されているかどうかを示します。URL のセキュリティー権限がない場合は、ライセンスの制限か、割り当てたサーバー・グループに URL が属していないことが考えられます。許可を拡張する必要がある場合は、製品管理者に連絡してください。

順序付けられたシーケンスとして探査 URL をテストする (Test Explore URLs as an ordered sequence): 要求を特定の順序で送信したときにのみ、Web アプリケーションの領域に到達できる場合は、このオプションを選択します。スキャンは、スキャンがテストを送信する前に URL が記録された順序で URL を再生します。このオプションを選択すると、テストのパフォーマンスが低下します。

自動探査: ページ数を制限せずにクロールするようにスキャンを設定すると、スキャンの完了に長い時間がかかることがあります。

ページ数: 特定のページ数を入力して、スキャン時間を短縮します。

深さ制限: このオプションを使用して、スキャンが対象の Web サイト内の各最上位のページのみに到達できるようにします。スキャンは、指定されたページ数を超えてクロールされることはありません。デフォルトは 20 回のクリックの深さです。深さ制限をクリック 6 回未満に設定すると、「深さのあるページ」レポート内に報告されるデフォルトの制限が 6 回のクリックの深さであるため、「深さのあるページ」レポート内に正確な情報が取得されない可能性があります。注: アップグレード時には、このオプションは有効になりません。

ログイン・セッション ID: ログイン・セッション ID リストには、ログイン中に検出された Cookie およびパラメーターが示されます。このリスト内で変数を選択し、「追跡」「追跡の停止」ボタンを使用してそれらの状態を変更できます。セッション ID を追跡する場合、セッション ID の値がログイン要求の応答から解析され、この値が残りのスキャン・セッションの間に送信されたすべての要求に適用されます。サイトがセッションごとに異なる値を使用する場合、セッション ID を追跡していないと、1 つのページが前のセッションと同じであるかどうかをジョブが判別するのが難しくなります。デフォルトでは、regexp:.*ses.* および regexp:.*id.* が追跡されます。追跡されるセッション ID は「パラメーターおよび Cookie」ページに追加されます。名前のないカスタム・パラメーターがログイン時に検出され、追跡されるように設定されると、このカスタム・パラメーターの定義は変更されます。

自動ログイン

アプリケーションがワンタイム・ログインを要求する場合、ユーザー名とパスワードを使用して、スキャンが自動的にログインできるようにします。

セッション内検出

「セッション内状態」アイコンは、このスキャンに対してセッション内検出を正しく設定したかどうか、およびセッション内検出がアクティブ、無効、または有効のどの状態であるかを示します。各アイコンにはメッセージが付随しており、更新や実行可能な修復タスクを示します。

「詳細」フィールドには、「セッション内検出を有効にする」チェック・ボックス、およびスキャンでそれがログインされていることを検査するためにスキャン中に使用されるセッション内パターンが表示されます。必要な場合、対象のスキャンに対して「セッション内検出を有効にする」チェック・ボックスを有効にします。デフォルトのパターンが使用したいものでない場合は、異なる正規表現を入力して、「更新」をクリックします。

テスト・ポリシー

テスト・ポリシーとは、スキャン中に送信されるセキュリティー・テストの定義済みセットのことです。

ユーザー・スキャンの許可

セキュリティー・テストを実行するには、テストを実行するための許可が必要です。このリストには、ユーザーにセキュリティー・スキャンを作成することが許可されている特定のサーバー・グループが、割り当てられているテスト・ポリシーと併せて表示されます。サーバー・グループは、サーバーのグループを定義する URL、IP アドレス、または IP アドレス範囲のセットです。追加のスキャン権限が必要な場合は、製品管理者に連絡してください。

プラットフォーム認証

スキャンで HTTP Basic または NTLM 認証が必要なページが検出された場合、ユーザーが選択したユーザー名とパスワードが自動的に入力されます。

クライアント側の証明書

ファイル・システムを参照して、クライアント側の証明書を探してください。証明書をアップロードする許可があることを検査するため、パスワードが使用されます。