サポートされるテクノロジー
サイトで使用されるテクノロジーには、AppScan のスキャン機能に影響を与えるものと、スキャンにまったく影響を与えないものがあります。
- AppScan は「ブラックボックス」 (DAST) ツールで、ブラウザーと同じメカニズムを使用してサイトをスキャンします。そのため、一般に、ブラウザーに対して透過的なサーバー・サイド・テクノロジーは、AppScan に対しても透過的であり、スキャンに影響しません。
- JavaScript などのクライアント・サイド・テクノロジーや HTTP プロトコル自体は AppScan に影響します。スキャンを正常に行うために、AppScan は製品に組み込まれている実際のブラウザーを使用して、市販のブラウザーと同じように Web ページを処理します。これにより、一般的なすべてのテクノロジーがサポートされます。AppScanがエレメントのコンテキストを理解し、単純なブラウジング以上の適切な処理を行えるようにするため、通常はスキャンのテスト・ステージで追加の設定が必要になる場合があります。
- WebSocket のログインの記録およびログイン再生がサポートされています。
AppScan スキャンは、探査およびテストの、探査とテスト。次の表は、各ステージについて、どのサーバー・サイドとクライアント・サイドの技術がスキャンに影響を与えるか、またどのような場合に設定が必要かを理解するためのガイドラインを示しています。
サーバー・サイド・テクノロジー | クライアント・サイド・テクノロジー | |
---|---|---|
探査ステージ |
クライアントに影響しないサーバー・サイド・テクノロジー (使用されている特定のデータベースなど) は、スキャンにまったく影響しません。 クライアントに影響する 多くのメカニズム (セッション管理など) は、AppScan が正しく構成されている場合は、スキャンを制限することはありません。例えば、Web サーバーおよびアプリケーション・サーバーはセッション ID の管理方法に影響を与え、AppScan はこれらの ID を追跡できる必要があります。多くの一般的なセッション ID は、事前定義されているか、AppScan が自動的に検出でき、追加の構成を必要としません。ただし、一部のカスタム・メカニズムには追加の構成が必要な場合があります。 AppScan は、WebSphere Portal カスタム URL を明確にサポートしています。WebSphere Portal は、表示されたときに追跡が困難になる方法で URL をエンコードします。AppScan は URL をデコードするため、認識して調整することが可能になります。 |
AppScan は完全な組み込みブラウザーを使用し、主なテクノロジーがすべて自動的にサポートされます (HTML5) 。 その中には、Angular、React、JQuery などの一般的な JavaScript フレームワークも含まれます。 特定のテクノロジーまたは実装が自動探査をブロックしていることが原因で、自動探査ステージでページが見つからなかった場合、自動探査ステージの後、テスト・ステージの前に、手動でページを探査することで、ページをスキャンに追加できます。 |
テスト・ステージ (Test stage) | AppScan は、サポートするテクノロジーではなく、アプリケーションをテストするよう設計されているため、それらのテクノロジーはテストに影響しません。それらのテクノロジーはテストに影響しません。サード・パーティーによるテスト (共通脆弱性テスト) に対応した特定のテストも提供しています。 | 組み込みブラウザーの使用についてクライアント・サイド JavaScript の脆弱性がテストされます。テストの実行には、ブラック・ボックス (DAST) アプローチも使用されます。ブラウザー環境が操作され、JavaScript はそのまま実行されて脆弱性が明らかになります。最新のブラウザーでサポートされるすべての実行方法は AppScan でサポートされます。 |