「マルチステップ操作」ビュー

「構成」ダイアログ・ボックスの「マルチステップ操作」ビューは、リンクを特定の順序でクリックすることによってのみ到達できるサイトの部分をテストするためのビューです。

ユーザーが品目をカートに追加し、まだ支払いを行っていないオンライン・ショップなど、リンクを特定の順序で クリックすることによってのみ到達できるサイトの部分を探査するには、マルチステップ操作が必要です。以下の 3 つのページについて考えます。
  1. ユーザーがショッピング・カートに 1 つ以上の品物を追加します
  2. ユーザーが支払いと配送方法の詳細を入力します
  3. ユーザーが、この注文が完了した確認を受け取ります
ページ 2 へは、ページ 1 を経由したときのみ到達できます。ページ 3 へは、ページ 1 に続いてページ 2 を経由したときのみ到達できます。 これがシーケンスです。ページ 2 とページ 3 をテストできるようにするには、AppScan® が各テストの前に HTTP 要求の正しいシーケンスを送信する必要があります。

上記の例では、ページ 1 > ページ 2 > ページ 3 という単一シーケンスを記録します。AppScan は、必要に応じてこの順序から必要なサブシーケンスを抽出します。(ページ 2 のテスト中には、ページ 1 の要求が最初に送信されます。ページ 3 のテスト中には、ページ 1 に続いてページ 2 が送信されます。)

注: マルチステップ操作の数は 5 個以下、1 つの操作のステップ数は 25 個以下、合計ステップ数は 70 個以下に制限することをお勧めします。
注: マルチステップ操作の構成をマニュアル探査と混同しないようにしてください。また、上記で説明したような場合にのみ使用してください。詳しくは、AppScan を使用したマニュアル探査を参照してください。


表 1. 「マルチステップ操作」ビューのオプション

設定

詳細

レコード
クリックして新規シーケンスを記録します。ログイン詳細が構成されている場合は、下矢印をクリックして選択することができます。
「AppScan IE ブラウザー」>「ログインして記録」
AppScan は、ブラウザーが開く前にアプリケーションに自動でログイン(記録したログインを使用して)します。その後、ログイン要求を記録することなくマルチステップ操作を記録できるようになります。この方法には、このシーケンスが再生されるたびにログイン要求が再生されないという利点がありますが、AppScan がセッション無効状態の場合に限ります。
注: マルチステップ・シーケンスには存在し、ログイン・シーケンスには存在しないパラメーターと Cookie は、追跡をログイン値に変更した場合でも、常にダイナミックとして追跡されます。
「AppScan IE ブラウザー」>「ログインせずに記録」
AppScan はログインせずにシーケンスの記録を開始します。ブラウザーが開いているときに、マルチステップ・シーケンスを直接記録します。ログインする必要がある場合は、ログインが記録の一部になるため、シーケンスが再生されるたびにログインが再生され、スキャン時間が大幅に長くなる可能性があります。ログインが必要な場合は、前のオプションを使用することがベスト・プラクティスです。
注: このオプションを使用してシーケンスの一部としてログイン要求を記録する場合、受け取ったパラメーターと Cookie は、ログイン要求であっても、また、追跡をログイン値に変更していても、常にダイナミックとして追跡されます。
AppScan Chromium ブラウザー
AppScan はログインすることなく、組み込み Chromium ベース・ブラウザーを使用して記録します。ブラウザーが開くとログインして、マルチステップ・シーケンスを記録できるようになります (必要な場合)。
注: このオプションを使用してシーケンスの一部としてログイン要求を記録する場合、受け取ったパラメーターと Cookie は、ログイン要求であっても、また、追跡をログイン値に変更していても、常にダイナミックとして処理されます。

詳しくは、シーケンスの記録を参照してください。

「エクスポート」ボタン | 「インポート」ボタン | 「マイナス」ボタン

シーケンスを別のスキャンで使用するため (SEQ ファイルとして) エクスポートします。別のスキャンからエクスポートされたシーケンス (SEQ ファイル) をインポートします。現在のスキャンから選択したシーケンスを削除します。

再生方法

 マルチステップ操作を記録する場合、AppScan によりアクションと要求の両方が記録されます。アクションと要求のどちらをスキャンで使用するかを選択できます。
要求ベースの再生
生の HTTP 要求を記録から送信します。一般的に早いのはこちらの方法です。
アクション・ベースの再生
ユーザーのクリックおよびキー・ストロークを再生します。この方法を選択するのは、サイトに大量の JavaScript が含まれている場合や、要求ベースの再生に含まれている要求を検証した際に、その一部に赤色の X でマークが付けられた場合などです。この方法では、スキャン時間が長くなる可能性があります。
要求ベースの再生がデフォルトの方法です。
注: 組み込みのブラウザー以外のブラウザーを使用するようにスキャンが構成されている (「ツール」 > 「オプション」 > 「外部ブラウザーの使用」) 場合は、常に要求ベースの再生が使用されます。
注: アクション・ベースの再生のサポートが行われていなかった AppScan バージョンで記録されたシーケンスをロードする場合、アクション・ベースの再生が選択されていてもそのシーケンスに対しては要求ベースの再生が選択されます。
注: アクション・ベースの再生をマルチステップ操作に選択する場合、ログイン方法としてもアクション・ベースを選択する必要があります。必要に応じて、ログイン手順を再び記録します (「ログイン管理」ビューを参照)。

シーケンス・リスト

このスキャンについて記録されたすべてのマルチステップ操作をリストします。

シーケンス名 (Sequence Name)

シーケンスのリストで選択されているシーケンスの名前です。それぞれの隣にあるチェック・ボックスは、このスキャンに対してそのシーケンスが有効であるかどうかを示します。

検証
これをクリックして、シーケンスが有効であることを確認します。AppScan はシーケンスを再生します。元の応答とは異なる応答を受け取る要求には赤色の X のマークが付けられ、これらがテストされないことが示されます。
ヒント: 要求が異なる応答を受け取る一般的な理由は、定義を必要とする動的シーケンス変数が存在しているためです。シーケンス変数を参照してください。これが問題ではなく、サイトに JavaScript が含まれている場合、アクション・ベースの再生に変更すると、結果が改善される可能性があります。

記録された URL

選択されたシーケンスのリンクまたはアクションを表示します。

検証済み
緑のチェック・マークは、URL が検証済みであることを示します。赤い X が未検証の URL の隣に表示されます。
テスト
この URL を単独でテストするかどうかを示します (マルチステップ操作の一部としてだけでなく)。オプションは、「はい」/「いいえ」です。設定を変更するには、URL を右クリックして「テストする/テストしない」を選択します。「いいえ」を選択した場合でも、URL はマルチステップ操作の一部として再生されます。
シーケンスの再生
(テスト済みの URL のみに適用されます) この URL がテストされるたびにシーケンスの前のステップを再生するかどうかを示します。オプションは、「はい」/「いいえ」です。設定を変更するには、右クリックして「要求テスト前にシーケンスを再生」 > 「はい」/「いいえ」を選択します。
  • シーケンス内の任意のリンクを選択し、ブラウザーのボタンをクリックすることにより、そのリンクを表示します (表示されるダイアログの右上にあるごみ箱アイコンをクリックすることにより、個々の要求を削除できます)。
  • シーケンス内の任意のリンクを選択し、「マイナス」ボタン をクリックすることにより、そのリンクを削除します。その後、「検証」をクリックして、更新されたシーケンスが引き続きセッション内の状態を維持しているかをチェックします。

シーケンス再生前にログイン

これを選択すると、マルチステップ操作を再生するときは必ず AppScan が最初にログインします。このオプションは、マルチステップ操作の一部としてログインを記録する場合にはクリアされます。

再生最適化を許可する

(要求ベースの再生のみ) これが選択されている場合 (デフォルト)、AppScan は、不要な再生を回避することにより、スキャン時間を最適化しようとします。この設定は、再生の最適化が原因で、AppScan でアプリケーションの一部がなくなったことが検出されない限り、無効にしないでください。スキャン・ログは、 これを決定するのに役立ちます。

シングル・スレッド・モードでのテスト

AppScan は、複数の要求が、その間にシーケンスの再生を必要としない場合、それらを同時に送信する可能性があります。この結果、アプリケーションの一部がなくなった場合は、このチェック・ボックスを選択してください。

シーケンス変数

シーケンスの記録中に受信した変数をリストし、AppScan が決定した追跡する必要がある変数を示します。これらはセッション ID または他の変数である可能性があります。このリスト内の変数の状況を変更して、AppScan がそれらの変数を処理する方法を改善することができます (詳しくは、シーケンス変数 を参照)。

以下も参照してください。

AppScan を使用したマニュアル探査

マルチステップ操作のみをスキャン