セキュリティー・テストのワークフロー

セキュリティー・スキャンは、Web アプリケーション上のすべての URL を検索して、それらに対して脆弱性に関するテストを実行できるように、注意して構成する必要があります。

始める前に

サイトを正常にスキャンするために、必ず以下を行ってください。
  • サイトの可能な限り多くの部分をスキャン対象にします。
  • 重複または無関係のコンテンツはスキャン対象から除外します。
  • レポート結果を有用かつ正確なものにします。
これらの条件を満たしてスキャンを成功させるには、反復アプローチが必要です。また、サイトの構造およびテクノロジーについて確実に理解する必要もあります。
  • スキャンがより迅速に進行できるよう、最初のスキャンでは、開始 URL の数を制限することをお勧めします。
  • 無効な URL を開始 URL として追加して、通常の開始 URL 内およびその下にあるページ以外のページをスキャンすることができます。
  • スキャンされる URL の正式名を把握しておくと役立ちます。それぞれの URL は有効である必要があります。無効の場合はジョブでスキャンできません。スキャン中にジョブで無効な URL が見つかった場合は、「既存の開始 URL」表の次の URL に進みます。ただし、無効な URL は、開始 URL に組み込まれないディレクトリーをスキャンするために使用できます。

手順

  1. 製品管理者は、テストするサーバー・グループを作成します。サーバー・グループの作成を参照してください。
  2. 製品管理者は、スキャンする IP アドレスを有効にします。スキャンでの IP アドレスの有効化および無効化を参照してください。
  3. 製品管理者は、使用するセキュリティー・テスト・ポリシーを作成/インポートします。AppScan Standard からの詳細セキュリティー・テスト・ポリシーのインポートおよび 単純なセキュリティー・テスト・ポリシーの作成を参照してください。
  4. サイトをブラウズし、スキャンを中断させる可能性のある項目を探します。次に例を示します。
    • ログイン・ページ
    • 買い物かごに入れる、このページを印刷する、列見出しのソートなどの除外
    • セッション ID、およびその他のパラメーター
    • カスタム・エラー・ページ
    • 値を必要とする可能性のあるフォーム
    • Flash または JavaScript
  5. セキュリティー・スキャンを構成し、実行してください。AppScan Enterprise でのスキャン・プロパティーを使用したセキュリティー・スキャンの構成を参照してください。
  6. スキャンを詳細化および拡張します。テスト・スキャンのレポート結果には、スキャンをどのように詳細化する必要があるかが示されています。
    1. スキャンは早期に終了しましたか。早期に終了した場合、ログアウト・ページがスキャンの停止の原因である可能性があります。
    2. レポートで誤検出を探します。
    3. レポートから同一ページまたは同一フォームを削除する必要があるかどうかを判断します。ページおよびフォームは、実際には同じであるにもかかわらず、スキャンでは別のものとして表示される原因となるパラメーター (照会ストリングまたはポスト・データ) または Cookie を持つ場合があります。セッション ID などのパラメーターを削除するには、URL およびフォームを正規化する必要があります。そうすると、スキャンで同一のものと認識されるようになります。正規化は、グローバル・ドメインを編集することによってサーバーおよびドメイン・レベルで、または個々のスキャン・ジョブ・レベルで実行されます。特定のドメイン内でスキャンされるすべての URL およびフォームには、同じルールを適用することができます。
    4. アプリケーションの URL の一部が見つからない場合は、マニュアル探査を使用してサイトを手動で探査して、URL をスキャンに追加します。
    5. スキャンを行う必要のあるドメインまたはディレクトリーが他にもあるかどうかを判別するには、「Web サイトのアーキテクチャー」レポートを確認してください。外部として示されているドメインを「スキャン対象」ページに追加すると、それらをスキャンに含めることができます。スキャンされていないドメインがこのページにリストされている場合は、ログイン・ページによってそれらのドメインへのアクセスが阻止された可能性があります。
    6. 結果に基づいて、プロパティーがどのように構成されているかを再評価します。追加のプロパティーを構成したり、既存のプロパティーの設定を変更したりする必要がある場合があります。
    1. Web サイトまたはアプリケーション全体がスキャンされ、正しく分析された (誤検出がない、など) ことが確実になるまで、最後の 2 つのステップを繰り返します。
  7. 脆弱性を修正してから、セキュリティー問題を再テストします。セキュリティーの問題の再テストを参照してください。
  8. セキュリティー・ダッシュボードを実行し、結果を配布します。事前作成されたダッシュボードの実行を参照してください。