AppScan Enterprise スキャン・プロパティーを使用した、テンプレートに基づくスキャンの作成
クイック・スキャンは、管理者によって作成されるスキャン・テンプレート内のパラメーター・セットを使用し、サイトをクロールしてコンテンツを検出します。スキャンによってコンテンツが収集された後、そのデータはレポート・エンジンによる分析用にデータベースに格納され、レポートの集合であるレポート・パックを介して使用できるようになります。データ分析タスクの大部分は、これらのレポートで提供されるデータを中心に扱います。
始める前に
- この作業は、「クイック・スキャン・ユーザー」許可を持つ開発者が実施します。AppScan Enterprise V9.0.2 では、スキャンを作成する新しい方法が導入されました。この方法により、整合性のあるスキャン構成と結果を作成できます。AppScan Standard スキャン・プロパティーを使用したテンプレートに基づくスキャンの作成を参照してください。
- マニュアル探査機能または記録されたログイン機能を使用するには、ブラウザー・プラグインのインストールが必要になる場合があります。
このタスクについて
注意: スキャン構成はサード・パーティーによって表示される可能性があるため、このデータには機密情報を含めないでください。ブラウザーの記録を開始する前に、既存のすべてのセッションからログアウトしてください。Enterprise Console インターフェース内でユーザー名およびパスワードが平文で表示されることを防止するため、マニュアル探査ではテスト・ユーザー・アカウントを使用します。
注:
- 使用するテンプレートに応じて、このタスクで説明するオプションの一部を使用できない場合があります。
- URL 除外の設定など、いくつかのより詳細なスキャン・オプションを構成する必要がある場合には、「設定」タブの下部にある「詳細スキャン構成」リンクをクリックします。
手順
- 「スキャン」ビューで、QuickScan テンプレート・リスト (ツールバーの下) からスキャン・テンプレートを選択し、フィールドに開始 URL を入力して、「クイック・スキャンの作成」アイコンをクリックします。選択したテンプレートに応じて、「設定」タブまたは記録ブラウザーのいずれかが開きます。
- 「設定」タブが開いた場合には、必要に応じて「スキャン名」を組織にとって意味のある名前に編集します。デフォルトでは、スキャン名は前のページで入力した URL の名前に設定されます。
- (オプション) トラフィック・データをインポートするには、 トラフィック・データのキャプチャーおよびインポートを参照してください。
- 記録ブラウザーが開く場合は、以下の手順に従います。
- サイトを手動でブラウズして、データの入力やリンクのクリックを行います。クイック・スキャンは、「記録の停止」ボタンがクリックされるまで、または記録ブラウザーが閉じられるまで、すべての入力を記録します。
- アプリケーションの探査が終了したら、「停止」をクリックするか、ブラウザーを閉じます。「設定」タブが開きます。
- 必要に応じて、「スキャン名」を組織にとって意味のある名前に編集します。デフォルトでは、スキャン名は前のページで入力した URL の名前に設定されます。
- 「スキャン対象 URL」リストを確認して、アプリケーションへのログイン・ページがクイック・スキャンによって正確に識別されたこと、および記録された URL に対してセキュリティー・テストを実行する権限を持つことを検査します。ログイン・ページより前に記録されたすべてのページは、ログイン・シーケンスの一部として分類されます。ログイン・ページの後に記録されたページは、通常のページとして分類されます。一部の URL を再分類する場合は、その URL を選択して、URL リスト内でその行の上または下に移動させます。必要に応じてログイン・シーケンスを再記録したり、手動でサイトを探査してスキャンに URL を追加することができます。
- どのようにスキャンを完了させるかを選択します。ページ数を制限せずにクロールするようにスキャンを設定すると、スキャンの完了に長い時間がかかることがあります。
- (オプション)「ログイン・セッション ID」を選択して、追跡済みセッション ID としてドメインのグローバル・リストに追加します。リスト内でグレー化されて表示されているセッション ID は、ドメインのグローバル・リストに既に存在しています。グレー化されていないセッション ID は、記録されたログイン手順中に見つかりました。
- ステップ 4 に進みます。
- (オプション)「自動ログイン」を構成します。アプリケーションがワンタイム・ログインを要求する場合、ユーザー名とパスワードを使用して、スキャンが自動的にログインできるようにします。
- (オプション)「セッション内検出」を有効または無効にします。セッション内パターン詳細セクションには、スキャンがログインしていることを確認するためにスキャン中に使用したセッション内パターンが表示されます。これが使用したいものでない場合、別のパターンを入力して「更新」をクリックし、パターンを検査します。
- オプションのスキャン・プロパティーを構成するには、「その他のスキャン・オプション」をクリックします。
- スキャンの構成が終了したら、「保存」をクリックしてスキャン・オプションを保存します。
- スキャンを開始します。「進行状況」タブが開き、スキャンが実行している間、スキャンの統計が表示されます。以下を選択することもできます。
- 「現在の結果を保存して停止」: 現在の結果を保存して、ジョブを停止します。実行は正常に終了し、それまで収集されたデータはデータベースに保存されますが、レポートは不完全になります。
- 「結果を破棄して停止」: 実行中に収集されたすべてのデータを破棄し、ジョブを停止します。
次のタスク
スキャン結果の準備ができたら、「結果」タブにレポートを表示できます。レポートには、Web サイトまたはアプリケーションに関する情報が表示され、さらなる詳細を参照するための機能を使用できます。データ分析タスクの大部分は、これらのレポートで提供されるデータを中心に扱います。