ワークフローの説明
AppScan では、ご使用の Web アプリケーションに関する総合的な評価が提供されます。また、無許可アクセスやコード・インジェクションだけでなく、標準的なユーザー手法のすべてのレベルに基づく、何千というテストも実行されます。
ご使用のアプリケーションに対してスキャンを実行すると、AppScan によって各種テストがご使用の Web アプリケーションに送信されます。テストの結果は、AppScan のサイトを認識するスマート・エンジンによって作成され、強化されたレビューと操作で使用できる拡張性のあるレポートおよび推奨される修正も提供されます。
AppScan は対話式ツールです。このツールを使用して、スキャンの構成および結果に対する対応を決定します。
AppScan でのワークフローには、以下のステージが含まれています。
- テンプレートの選択: 定義済みのスキャン構成が、スキャン・テンプレート です。「標準的なスキャン」テンプレート、別の定義済みのテンプレート、あるいは以前に保存したテンプレートをロードすることができます。(構成は、後で必要に応じて現在のスキャンに合わせて調整できます。)
- アプリケーションまたは Web サービスのスキャン: Web サービスをスキャンする場合は、AppScan にサービスを 使用 する方法を示すために、ユーザーが多少の手動入力を行う必要があります。
- AppScan: Web サービスをスキャン しない 場合、またはアプリケーションの Web サービス 以外の 部分をスキャンする場合は、このデフォルトのオプションを選択したままにします。
- 外部デバイス/クライアント: サービスをスキャンする場合は、このオプションを選択します。AppScan を記録プロキシーとして構成し、AppScan を介して外部クライアントから要求を送信します。
- スキャン構成: サイトの詳細、ご使用の環境、および他の要件を考慮に入れて、スキャンを構成します。
- (オプション) マニュアル探査: ユーザーが行うように、サイトにログインし、リンクをクリックし、フォームに入力します。これは、一般的なユーザーがサイトをブラウズする方法を AppScan に「示す」ための良い方法です。これにより、サイトの重要な部分が確実にスキャンされ、フォームに入力するた めのデータが提供されます。
- (オプション) スキャン・エキスパートの実行: これは、構成を評価するために短時間で行うサイトの事前スキャンです。スキャン・エキスパートでは、メイン・スキャンの効率を高めるために、変更が推奨される場合があります。
- アプリケーションまたはサービスのスキャン: これは、探査ステージとテスト・ステージから構成されるメイン・スキャンです。
探査ステージ: AppScan がサイトをクロールし、通常のユーザーがアクセスするようにしてリンクにアクセスし、応答を記録します。また、ご使用のアプリケーションで検出された URL、ディレクトリー、ファイルなどの階層も作成されます。このリストは、アプリケーション・ツリー (アプリケーション・ツリーを参照) に、表示されます。
探査ステージは、自動または手動、あるいはこの両方を組み合わせて実行できます。探査データ・ファイルをインポートすることもできます (マニュアル探査データをエクスポートする を参照)。このファイルは以前記録されたマニュアル探査シーケンスで構成されています。AppScan はサイトから収集したデータを分析し、その分析に基づいてサイト用のテストを作成します。これらのテストは、インフラストラクチャーの弱点 (市販のサード・パーティー製品またはインターネット・システムでのセキュリティー上の弱点など) とアプリケーション自体の弱点の両方を明らかにするために設計されています。
テスト・ステージ: テスト・ステージ中に、AppScan は、脆弱性を明らかにし、その重大度を評価するために、探査ステージ中に受信した応答に基づいてアプリケーションをテストします。
ご使用の AppScan の現行バージョンに組み込まれたすべてのテストの最新のリストは、「スキャン構成」ダイアログ・ボックスで確認することができます (「テスト・ポリシー」ビューを参照)。
AppScan で自動的に作成および実行されるテストのほかに、ユーザー定義テストを作成することもできます (ユーザー定義テストを参照)。作成したテストにより、AppScan によって生成されたテストを補完することができ、検出された結果を検査することもできます。
テスト結果は「結果リスト」に表示され、そこでテスト結果を表示および変更できます。結果の完全な詳細は、 「詳細ペイン」内に表示されます。
- (オプション) マルウェア・テストの実行: サイトで検出されたページおよびリンクを分析して、悪質なコンテンツおよび好ましくないコンテンツがないか調べます。注: 原理上はマルウェア・テストはこのステージで実行できますが (この場合、メイン・スキャンの探査ステージの結果が使用される)、実際にはマルウェア・テストは通常はライブ ・サイトに対して実行されます。一方、標準的なスキャンは、通常はテスト ・サイトに対して実行されます (スキャンによってライブ ・サイトを妨害するリスクがあるため)。
- 結果の確認 サイトのセキュリティー状態を評価します。また、以下のことが必要な場合があります。
- その他のリンクの手動での探査
- 修復タスクの確認
- レポートを印刷する
- (必要な場合) 結果の検討に基づくスキャン構成の調整とスキャンの再実行