上級ユーザー用のワークフロー

このワークフローは、Web セキュリティー分野の経験を持つユーザーが、さらに詳細なスキャンを実行する場合に役立ちます。

テスト・ステージと、それに伴ってスキャン自体が成功するかどうかは、探査ステージで設定する範囲によって決まります。探査ステージでアプリケーション・ロジックの重要な部分を見落とすと、存在する可能性のある重要な脆弱性をテスト・ステージで検出することはできません。以下のワークフローに従って操作することで、探査ステージで設定する範囲を改善することができます。


ワークフロー・ダイアグラム

タスク

説明

1. 初期構成
ウィザードまたは「スキャン構成」ダイアログ・ボックスを使用して、以下の操作を行います。
  1. 開始 URL を定義します。
  2. ログイン手順を記録します。
  3. セッション内パターンを検証し、必要に応じて新規パターンを選択します。
  4. サイトがアカウントのロックアウト機能を備えている場合は、この機能を無効にするか、ログイン・ページをテストしないように AppScan を構成します。これを行わないと、テスト・ステージの途中で AppScan がサイトからロックアウトされ、以降の手順に進むことができなくなります。

このステップについて詳しくは、初期構成を参照してください。

2. 探査のみ
以下の手順に従って、初期の自動探査を実行します。
  1. ツールバーで、「スキャン・アイコン」 > 「探査のみ」 をクリックし、新しい探査ステージを完了させます。AppScan はサイトを探査しますが、テストは行いません。探査ステージの開始時にスキャン・エキスパートが実行されます。このとき、構成の変更がいくつか表示される場合があります。デフォルト設定では、自動的に適用可能な変更だけが、スキャン・エキスパートによって行われます。
    注: サイトが URL の再書き込みを使用する場合、探査の最適化 (「ツール」 > 「エクステンション」 > 「探査の最適化モジュール: 実行) を実行し、エクステンションによって推奨される場合は Automatic Explore ステージを再度実行します (「スキャン」 > 「再探査」)。
  2. AppScan がセッション外になったことが原因で探査が途中で終了した場合は、セッション内検出とセッション ID 追跡に特に注意して、ログイン手順の再記録と再構成を行ってください。

このステップについて詳しくは、初期自動探査を参照してください。

3. ブラウザーを使用したサイト範囲の手動による改善
以下の手順に従って、自動探査で検出されなかった URL を追加します。
  1. マニュアル探査:「マニュアル探査」を使用して、個別のページ (特定の入力が必要なページなど) を追加します。
    注: 標準装備のブラウザーでアプリケーションを参照できない場合がまれにありますが、その場合は、別のブラウザーを使用するように AppScan を構成することができます。
  2. マルチステップ操作: サイトの一部にアクセスする際に特定の順序でリンクをクリックする必要がある場合は、 1 つ以上のマルチステップ操作を記録します。

このステップについて詳しくは、手動によるサイト範囲の改善を参照してください。

4. 探査のみを継続
多くの場合、マニュアル探査で入力した新しいデータにより、自動探査でさらに詳細にアプリケーションを探査できるようになります。
注: 「スキャン」アイコン > 「自動探査の継続」 (または 「スキャン」 > 「探査のみ」) をクリックして、初期探査結果とマニュアル探査データを保存します。「再スキャン」>「再探査」はクリックしないでください。これをクリックすると、既存のデータが削除されます。

5. 探査結果の評価
これまでの結果を検討して、これまでに実行した探査でアプリケーション・ロジックが十分にカバーされているかどうかを確認します。
注: 構成を変更した場合は、自動探査を再度実行する必要があります (「スキャン」>「再探査」)。

このステップについて詳しくは、探査結果の評価を参照してください。

6. (必要な場合) 追加の構成

これまでに設定したアプリケーションの範囲が十分でない場合は、いくつかの追加の構成オプションを検討する必要があります。

このステップについて詳しくは、追加の構成を参照してください。

7. テスト・ステージ

「テストのみ」をクリックしてテスト・ステージへ進み、スキャンを完了します。