パラメーター・ベースの移動を使用するサイトでの課題

ナビゲーションがパラメーター・ベースであるサイトをスキャンするために必要な構成変更について説明します。

デフォルトで、AppScan の冗長なパスの制限は 5 です (要求を同じ URL に送信できる最大回数。「探査オプション」ビューを参照)。通常のサイトでは、これにより不必要なテストが繰り返し行われることがなくなります。ただし、サイトのナビゲーションがパラメーター・ベースの場合、この低い制限では、AppScan® はサイトを十分にスキャンすることができず、「標準的なスキャン」テンプレートを使用して実行されるスキャンは、ほとんどのどのサイトもディスカバーしてテストすることができません。

「冗長なパスの制限」を増やすか、完全に無効にするだけでは、この問題は解決しません。このようにしても、AppScan が無限ループに入るか、あまりに多くのテストを持つスキャンが作成されて、AppScan でメモリー不足が発生します。これには、以下のような 2 つの理由があります。
  1. 探査ステージ中の要求のハッシュ時に、AppScan は、要求内で検出したすべてのパラメーターおよび Cookie を組み込みます。冗長なパスの制限を無効にすると、これらの値のすべての組み合わせが考慮されてしまいます。

    例えば、サイトのセクションの各ページに、販売可能な商品についての情報をデータベースから取得するスクリプトへの何百ものリンクが含まれているとします。これらのリンクには、item_id というパラメーターが含まれていますが、これは新しいページを生成する際に重要でなく、項目に関する情報を取り出すためにのみ使用されます。その結果、AppScan は、item_id をハッシュから除外できる場合を除き、この項目情報ページの数千ものインスタンスを要求します。

  2. テスト・ステージでは、この問題はより深刻になります。例えば、要求に par1par2 の 2 つのパラメーターがあり、AppScan がこれらのパラメーターを含む以下の 4 つのリンクを検出するとします。
    http: // site.com/content.aspx?par1=a&par2=c
    http: // site.com/content.aspx?par1=a&par2=d
    http: // site.com/content.aspx?par1=b&par2=c
    http: // site.com/content.aspx?par1=b&par2=d

    各パラメーターに 400 のテストを適用可能な場合、AppScan は合計で 1,600 のテストを送信します (par2=cpar2=d のとき par1 で 800、par1=apar1=b のとき par2 で 800)。したがって、これらのパラメーターを探査ハッシュから除外することに加えて、各パラメーターを 1 回のみテストするように AppScan に通知する必要があります(par1 で 400 回のテスト、par2 で 400 回のテスト)。

上記から導き出される、パラメーター・ベースの移動を使用するサイトをスキャンするための原理は、以下のとおりです。
  1. 探査ステージ: ナビゲーション・パラメーター以外は、すべてのパラメーターの値を無視する。
  2. テスト・ステージ: パラメーターの値が変更されても、新しいテストを作成しない (ナビゲーション・パラメーターは除く)。

以下も参照してください。

パラメーター・ベースの移動を使用するサイト

パラメーター・ベースの移動テンプレート