概要

HCLAppScan Standard は HCL AppScan アプリケーション・セキュリティー・テスト・スイートの侵入テスト・コンポーネントで、Web アプリケーションとサービスのテストに使用されます。セキュリティーの脆弱性を特定するための最先端の手法および技術を備えており、アプリケーションをサイバー攻撃の脅威から保護するのに役立ちます。

HCLAppScan Standard は、ハッカーが利用する方法と類似する手法を使用してアプリケーションを攻撃して、実行時にアプリケーションのセキュリティーを評価する動的分析ツールです。テストの結果には、アプリケーションのインベントリーから検証や修正のために再現可能な詳細な攻撃トラフィックまで、さまざまなデータ・セットが含まれます。このデータを UI で検査および処理したり、各種形式でエクスポートして他のツールと共有することができます。

AppScan には最先端のテスト機能のほかに、可能な限り効率的にテスト・プログラムを実行するための追加の機能も搭載されています。その一部を次に示します。
  • すぐに使用可能な 40 を超えるさまざまなテンプレートを備えた、一般コンプライアンス・レポートおよび規制コンプライアンス・レポート
  • AppScan eXtension Framework の使用、あるいは AppScan SDK を使用した既存のシステムへの直接統合によるカスタマイズと拡張性
  • アプリケーションの最も可能性が高い部分の、最も可能性が高い問題にテストの的を絞るのに役立つ、組み込みの最適化メカニズム

AppScan Standard は、サイト配備前と実動環境での継続的なリスク・アセスメントの両方で、Web アプリケーション攻撃およびデータ侵害のリスクを軽減するのに役立ちます。

サポートされるテクノロジー

お客様のサイトで使用されるテクノロジーの中には、AppScan のスキャン機能に影響するものと、スキャンにまったく影響しないものがあります。
  • AppScan は、「ブラック・ボックス」(DAST) ツールであり、ブラウザーと同じメカニズムを使用してサイトをスキャンします。そのため、一般に、ブラウザーに対して透過的なサーバー・サイド・テクノロジーは、AppScan に対しても透過的であり、スキャンに影響しません。
  • JavaScript などのクライアント・サイドのテクノロジーやHTTP プロトコル自体は AppScan に影響します。正常にスキャンするために、AppScan は、製品に埋め込まれた実際のブラウザーを利用して商用のブラウザーなど Web ページを処理します。これにより、一般的なすべてのテクノロジーがサポートされます。通常は特にスキャンのテスト・ステージの場合、単なる参照だけではない処理を適切に行うために、AppScan で要素のコンテキストを把握できるよう追加の構成が必要になる場合があります。

AppScan スキャンは主に次の 2 つのステージで構成されています。探査とテストという 2 つの別個のフェーズがあります。次の表に、各ステージでスキャンに影響する可能性があるサーバー・サイド・テクノロジーとクライアント・サイド・テクノロジー、および構成が必要になる状況を理解するためのガイドラインを示します。

サーバー・サイド・テクノロジー

クライアント・サイド・テクノロジー

探査ステージ

クライアントに影響しないサーバー・サイド・テクノロジー (使用されている特定のデータベースなど) は、スキャンにまったく影響しません。

クライアントに影響する 多くのメカニズム (セッション管理など) は、AppScan が正しく構成されている限り、スキャンを制限することはありません。例えば、Web サーバーおよびアプリケーション・サーバーはセッション ID の管理方法に影響を与え、AppScan はこれらの ID を追跡できる必要があります。多くの一般的なセッション ID は、事前定義されているか、AppScan が自動的に検出でき、追加の構成を必要としません。ただし、一部のカスタム・メカニズムには追加の構成が必要になります。

AppScan は、WebSphere Portal カスタム URL を明確にサポートしています。WSP は、表示されたときに追跡が困難になる方法で URL をエンコードします。AppScan は URL をデコードするため、認識して調整することが可能になります。

AppScan は完全な組み込みブラウザーを使用しており、Angular、React、JQuery など人気のある多くの JavaScript フレームワークを含むすべての主要テクノロジーが自動的にサポートされます (HTML5)。

自動探索をブロックする特定のテクノロジーまたは実装が原因で、自動探索のステージでページが探索されない場合は、自動探索のステージのにそれらのページを手動で探索してページをスキャンに追加できます。

テスト・ステージ

AppScan は、サポートするテクノロジーではなく、アプリケーションをテストするよう設計されているため、それらのテクノロジーはテストに影響しません。データベースについて再び検討すると、AppScan の SQL インジェクション・テスト・スイートは、使用されているデータベースから独立しています。サード・パーティーによるテスト (共通脆弱性テスト) に対応した特定のテストも提供しています。

組み込みブラウザーの使用についてクライアント・サイド JavaScript の脆弱性がテストされます。テストの実行には、ブラック・ボックス (DAST) アプローチも使用されます。ブラウザー環境が操作され、JavaScript はそのまま実行されて脆弱性が明らかになります。最新のブラウザーでサポートされるすべての実行方法は AppScan でサポートされます。