サポートされるテクノロジー
あなたのサイトで使用されているいくつかの技術は、AppScanのスキャン能力に影響を与える可能性がありますが、他の技術はスキャンに全く影響を与えません。
- AppScanは「ブラックボックス」(DAST)ツールであり、ブラウザと同じメカニズムを使用してサイトをスキャンします。そのため、一般に、ブラウザーに対して透過的なサーバー・サイド・テクノロジーは、AppScan に対しても透過的であり、スキャンに影響しません。
- JavaScript などのクライアント・サイド・テクノロジーや HTTP プロトコル自体は AppScan に影響します。成功したスキャンのために、AppScan は製品に組み込まれた実際のブラウザを使用して、市販のブラウザと同様にウェブページを処理します。これにより、一般的なすべてのテクノロジーがサポートされます。時には、AppScan が要素の文脈を理解し、単純な閲覧を超えて適切に処理するために、特にスキャンのテスト段階で追加の設定が必要になることがあります。
- WebSocketのログイン記録とログイン再生がサポートされています。
アンAppScan スキャンは、探索とテストという 2 つの主要な段階で構成されます。各段階において、以下の表は、スキャンに影響を与える可能性のあるサーバーサイドおよびクライアントサイドの技術を理解するためのガイドラインを提供し、どのケースで設定が必要かを示しています。
| サーバー・サイド・テクノロジー | クライアント・サイド・テクノロジー | |
|---|---|---|
| 探査ステージ |
クライアントに影響しないサーバー・サイド・テクノロジー (使用されている特定のデータベースなど) は、スキャンにまったく影響しません。 クライアントに影響する 多くのメカニズム (セッション管理など) は、AppScan が正しく構成されている場合は、スキャンを制限することはありません。例えば、Web サーバーおよびアプリケーション・サーバーはセッション ID の管理方法に影響を与え、AppScan はこれらの ID を追跡できる必要があります。多くの一般的なセッション ID は、事前定義されているか、AppScan が自動的に検出でき、追加の構成を必要としません。ただし、いくつかのカスタムメカニズムには、追加の設定が必要な場合があります。 AppScan は、WebSphere Portal カスタム URL を明確にサポートしています。WebSphere Portal は、表示されたときに追跡が困難になる方法で URL をエンコードします。AppScan は URL をデコードするため、認識して調整することが可能になります。 |
AppScan は完全な組み込みブラウザーを使用しており、Angular、React、JQuery など人気のある多くの JavaScript フレームワークを含むすべての主要テクノロジーが自動的にサポートされます (HTML5)。 自動探索をブロックする特定のテクノロジーまたは実装が原因で、自動探索のステージでページが探索されない場合は、自動探索のステージの後にそれらのページを手動で探索してページをスキャンに追加できます。 |
| テスト・ステージ | AppScan は、サポートするテクノロジーではなく、アプリケーションをテストするよう設計されているため、それらのテクノロジーはテストに影響しません。データベースを再度考慮すると、AppScanのSQLインジェクションテストのスイートは、使用するデータベースに依存しません。サード・パーティーによるテスト (共通脆弱性テスト) に対応した特定のテストも提供しています。 | 組み込みブラウザーの使用についてクライアント・サイド JavaScript の脆弱性がテストされます。テストの実行には、ブラック・ボックス (DAST) アプローチも使用されます。ブラウザー環境が操作され、JavaScript はそのまま実行されて脆弱性が明らかになります。最新のブラウザーでサポートされるすべての実行方法は AppScan でサポートされます。 |