このセクションでは、HCL AppScan Standard が提供する追加ツールの使用法を説明します。
AppScan は 5 つのユーティリティー (パワー・ツール) にアクセスします。各パワー・ツールは、アプリケーションのセキュリティーを管理したり、 AppScan を使用する際に役立つ特定の機能を提供します。
HTTP Request Editor パワー・ツールによって、十分に制御された HTTP 要求をサイトに送信できるため、さまざまな種類の HTTP 要求にサイトがどのように応答するかをテストできます。
このセクションでは、AppScan をカスタマイズするために、「オプション」ダイアログ・ボックス (「ツール」>「オプション」) から制御できるオプションについて説明します。
この拡張機能では、Open API 記述ファイルを使用してスキャンできます。この拡張機能は「ツール」 > 「エクステンション」 > 「Web サービス・ウィザード (オープン API)」から利用でき、デフォルトで有効になっています。
Authentication Tester パワー・ツールは、「ブルート・フォース」技法を使用して、Web アプリケーションへのアクセス権を取得するために使用される可能性のあるユーザー名とパスワードの脆弱な組み合わせを見つけるテスト・ユーティリティーです。(ブルート・フォース攻撃は、認証資格情報の推測に使用される自動化された試行錯誤プロセスで、不正ユーザーを正当なユーザーとしてサーバーに認識させる原因になります。)
この 接続テスト パワー・ツールを使用すると、多くのファイアウォールでブロックされてしまう Ping プロトコルを使用せずに Web サイトを ping することができます。
Encode/Decode PowerTool は指定されたストリングに、指定されたフォーマットのエンコードおよびデコードを行います。
正確な正規表現を記述することは面倒な試行錯誤のプロセスです。この Expression Test パワー・ツールを使用すると、プロセスを加速させることができます。
Generic Service Client (GSC) は、使用可能なサービスを表示し、パラメーターを入力したり、結果を表示したりできる単純なインターフェースを提供します。これを使用して SOAP Web サービスを手動で探査することで、AppScan がユーザーの入力を使用して適切なテストを作成することが可能になります。
ログは、トラブルシューティングに役立ちます。
すべてのビューで特定のデータについて「結果リスト」をフィルタリングすることができます。
要求に含めるパラメーター、ヘッダー、Cookie、およびこれらの値を作成するか、または変更します。