スキャン対象の URL を追加するためのサイトのマニュアル探査

マニュアル探査では、テストするスキャン対象の正確な URL をユーザーが構成内で指示します (スキャンが自動的にクロールして新規 URL を検出することはありません)。アプリケーションをナビゲートするために多くのユーザー対話が必要な Web アプリケーションの場合、またはアプリケーションの特定のエリアのみをテストしたい場合には、この方法を使用します。

始める前に

ローカル・マシン上でアプリケーションをマニュアル探査する場合は、マニュアル探査用のブラウザーで使用するホスト名と Enterprise Console へのアクセスに使用するホスト名が異なるようにする必要があります。そうしないと、スキャンで URL にアクセスできないことがあります。例えば、https://server1/ase を使用して Enterprise Console にアクセスする場合、マニュアル探査では https://server1.domain.com/ase を使用します。

このタスクについて

以下の場合は、ご使用のサイトを手動で探査します。

  • 開始 URL のリストにページを追加するための正確な URL が分からない場合
  • スキャンで認識できないために自動検出されないページ (リンク形式の非標準 js ポストバック、埋め込み js、フラッシュ・リンクなど) を追加したい場合
  • その他の理由 (ページが孤立しているなど) で自動検出されないページを追加したい場合
マニュアル探査は、Web サイトの自動クロールと組み合わせて使用することもできます。その場合、ユーザーが手動でアクセスするページと、AppScan Enterprise により自動的に検出されたページが、スキャンによってすべてテストされます。デフォルトでは AppScan Enterprise には自動探査が含まれますが、以下の方法のいずれかを使用して自動探査をオフにできます。
  • 「スキャン」ビューのコンテンツ・スキャン・ジョブで、「探査オプション」ページに進みます。「スキャン制限」セクションで、「指定された URL 制限 (開始 URL、マニュアル探査、および記録されたログインの各プロパティーに指定された URL。スパイダリングなし)」を選択します。
  • *.scant テンプレート・ベースのスキャンの場合、 AppScan 動的分析クライアント (ADAC) の「ジョブ・プロパティー」ページに進みます。「スキャン」セクションで「テストのみ」を選択します。ADAC クライアントを使用してサイトをマニュアルで探査するには、「マニュアル探査」を参照してください。
場合によっては、数ページのみテストしたいことがあります。現在作成中のページや、修正したばかりの問題を含むページなどです。小規模の切り分けられたスキャンを実行するために、上記で説明したオプションの 1 つによって「マニュアル探査」を使用します。その他の場合は、サイト全体をスキャンすることをお勧めします。「マニュアル探査」と「自動探査」のオプションを組み合わせると、全範囲のすべてのページがアクセスされるようになります。これらのインスタンスでは、代わりにデフォルト・オプションを使用します。
注意: スキャン構成はサード・パーティーによって表示される可能性があるため、このデータには機密情報を含めないでください。ブラウザーの記録を開始する前に、既存のすべてのセッションからログアウトしてください。Enterprise Console インターフェース内でユーザー名およびパスワードが平文で表示されることを防止するため、マニュアル探査ではテスト・ユーザー・アカウントを使用します。

手順

  1. ジョブの「スキャン対象」ページの「マニュアル探査」セクションで、「追加」アイコン (追加) をクリックします。
  2. コンテンツ・スキャン・ジョブの「マニュアル探査」ページで、記録されたファイルをインポートし、ウィンドウを閉じ、「保存」をクリックして、URL をスキャンに追加します。詳しくは、トラフィック・データのキャプチャーおよびインポート を参照してください。
  3. 「マニュアル探査済み URL」ページから、発見された URL のリストを検討します。
  4. 「マニュアル探査済み URL」リストから削除する URL を選択して、「削除」をクリックします。
  5. 「マニュアル探査済みの追加ドメイン」リストから削除するドメインを選択して、「削除」をクリックします。次に「保存」をクリックします。
    注: 編集の終了前に誤って「保存」をクリックした場合でも、「スキャン対象」ページで編集できます。
  6. 「マニュアル探査済みの自動フォーム入力フィード」ページで、マニュアル探査時に発見された自動フォーム入力フィールドを検討し、スキャンの対象に含めないフィールドを除去し、「保存」をクリックします。
  7. (オプション) スキャンで、URL が整然とした順序になっているかどうかテストする場合には、「スキャン対象」ページの「マニュアル探査」セクションで該当のチェック・ボックスを選択します。Web アプリケーションの一部が、要求を特定の順序で送信すること (マルチステップ操作) によってのみ到達できるときには、このオプションを選択します。スキャンは、スキャンがテストを送信する前に URL が記録された順序で URL を再生します。
    注:

    Web アプリケーションには、ショッピング・カートや銀行口座の申し込みのように、特定の順序で要求を送信したときにのみ到達できる部分があります。これらの URL を順序どおりに再生するようにスキャンを構成することができます。この例では、ユーザーがオンライン・ショッピングを行い、オンライン・ショッピング・カート・アプリケーションの次の 3 ページにアクセスします。

    • ページ A:ショッピング・カードに 1 つ以上の品物を追加します。
    • ページ B:支払いおよび配送の詳細を入力します。
    • ページ C:注文が完了したという確認を受け取ります。

    ページ B は、ページ A からのみアクセスできます。ページ C はページ A の後のページ B からのみアクセスできます。マニュアル探査中に、単一のシーケンス、ページ A > ページ B > ページ C を記録します。ページ C をテストするには、スキャンの実行時に、各テスト前に HTTP 要求を正しいシーケンスで送信する必要があります。ページ B をテストする場合、スキャンでは、まずページ A の要求を送信します。ページ C をテストする場合は、ページ A の要求を送信した後で、ページ B の要求を送信します。

    1. スキャンで、A を送信してから、B でテスト 1 を実行する
    2. スキャンで、A を送信してから、B でテスト 2 を実行する
    3. スキャンで、A、B の順に送信してから、C でテスト 1 を実行する
    4. スキャンで、A、B の順に送信してから、C でテスト 2 を実行する
    マルチステップ操作の性質上、マルチステップ要求は単一スレッド・モードで送信されるため、スキャンのパフォーマンスは低くなる可能性があります。

タスクの結果

マニュアル探査から追加した URL は、「Additional URLs」リストに追加され、開始 URL のリストと同じように扱われます。マニュアル探査から追加したドメインは、「Additional Domains」リストに追加されます。

次のタスク

スキャンへのサーバーおよびドメインの追加