マルチステップ操作

その他の方法では到達できない可能性があるアプリケーションの特定の部分に到達するために必要なマルチステップ操作を記録および管理します。

ユーザーが品目をカートに追加し、まだ支払いを行っていないオンライン・ショップなど、リンクを特定の順序で クリックすることによってのみ到達できるサイトの部分を探査するには、マルチステップ操作が必要です。以下の 3 つのページについて考えます。
  1. ユーザーがショッピング・カートに 1 つ以上の品物を追加します
  2. ユーザーが支払いと配送方法の詳細を入力します
  3. ユーザーが、この注文が完了した確認を受け取ります
ページ 2 へは、ページ 1 を経由したときにのみ到達できます。ページ 3 へは、ページ 1 に続いてページ 2 を経由したときにのみ到達できます。これがシーケンスです。ページ 2 とページ 3 をテストできるようにするには、AppScan® が各テストの前に HTTP 要求の正しいシーケンスを送信する必要があります。

上記の例では、次のように単一シーケンスを記録できます: ページ 1 > ページ 2 > ページ 3。AppScan® は、必要に応じてこのシーケンスから必要なサブシーケンスを抽出します。(ページ 2 をテストする際には、ページ 1 の要求が最初に送信されます。ページ 3 をテストする際には、ページ 1、続いてページ 2 が送信されます。)

注: マルチステップ操作の数は 5 個以下、1 つの操作のステップ数は 25 個以下、合計ステップ数は 70 個以下に制限することをお勧めします。
注: マルチステップ操作の構成をマニュアル探査と混同しないようにしてください。また、上記で説明したような場合にのみ使用してください。詳しくは、「AppScan を使用したマニュアル探査」を参照してください。

設定

詳細
シーケンス

シーケンスの記録

クリックして新規シーケンスを記録します。ログインの詳細を構成済みの場合は、下矢印をクリックして詳細を選択できます。詳しくは、「ブラウザーを使用した、シーケンスの記録」を参照してください。

再生方法

 マルチステップ操作を記録する場合、AppScan によりアクションと要求の両方が記録されます。アクションと要求のどちらをスキャンで使用するかを選択できます。
要求ベースの再生
生の HTTP 要求を記録から送信します。一般的に早いのはこちらの方法です。
アクション・ベースの再生
ユーザーのクリックおよびキー・ストロークを再生します。この方法を選択するのは、サイトに大量の JavaScript が含まれている場合や、要求ベースの再生に含まれている要求を検証した際に、その一部に赤色の X でマークが付けられた場合などです。この方法では、スキャン時間が長くなる可能性があります。
要求ベースの再生がデフォルトの方法です。
注: アクション・ベースの再生のサポートが行われていなかった AppScan バージョンで記録されたシーケンスをロードする場合、アクション・ベースの再生が選択されていてもそのシーケンスに対しては要求ベースの再生が選択されます。
注: アクション・ベースの再生をマルチステップ操作に選択する場合、ログイン方法としてもアクション・ベースを選択する必要があります。必要に応じて、ログイン手順を再び記録します (ログイン管理を参照)。
注: 外部ブラウザーを使用するようにスキャンが構成されており (「ツール」>「オプション」>「外部ブラウザーの使用」)、記録の問題が発生した場合は、「ツール」>「オプション」>「詳細」から Gui.RecordUserActionsInExternalBrowserFalse に設定し、アクション・ベースの記録を無効にしてから、やり直してください。

インポート

別のスキャンからエクスポートされたシーケンス (SEQ ファイル) をインポートします。

エクスポート

別のスキャンで使用するために、選択したシーケンスを SEQ ファイルとしてエクスポートします。

シーケンスのリスト

このスキャンについて記録されたマルチステップ操作をすべてリストします。

シーケンス名

シーケンスのリストで選択されているシーケンスの名前です。それぞれの名前の隣のチェック・ボックスは、このスキャンに対してそのシーケンスが有効であるかどうかを示します。
三点メニューで使用可能なオプション:
検証
これをクリックして、シーケンスが有効であることを確認します。AppScan はシーケンスを再生します。元の応答とは異なる応答を受け取る要求には赤色の X のマークが付けられ、これらがテストされないことが示されます。
ヒント: 要求が異なる応答を受け取る一般的な理由は、定義を必要とする動的シーケンス変数が存在しているためです。「シーケンス変数」を参照してください。これが問題ではなく、サイトに JavaScript が含まれている場合、アクション・ベースの再生に変更すると、結果が改善される可能性があります。
名前変更
選択したシーケンスの名前を変更します。
削除
選択したシーケンスを現在のスキャンから削除します。

シーケンスの詳細
検証 これをクリックして、シーケンスが有効であることを確認します。検証後にのみ、「トラブルシューティング」オプションが有効になります。

記録された URL

選択されたシーケンスのリンクまたはアクションを表示します。

検証済み
緑のチェック・マークは、URL が検証済みであることを示します。赤い X が未検証の URL の隣に表示されます。
テスト
この URL を単独でテストするかどうかを示します (マルチステップ操作の一部としてだけでなく)。オプションは、「はい」/「いいえ」です。設定を変更するには、URL を右クリックして「テストする/テストしない」を選択します。「いいえ」を選択した場合でも、URL はマルチステップ操作の一部として再生されます。
シーケンスの再生
(テスト済みの URL のみに適用されます) この URL がテストされるたびにシーケンスの前のステップを再生するかどうかを示します。オプションは、「はい」/「いいえ」です。設定を変更するには、右クリックして「要求テスト前にシーケンスを再生」 > 「はい」/「いいえ」を選択します。
三点メニュー内のさまざまなオプションについては、こちらで確認できます。

シーケンス再生前にログイン

これを選択すると、マルチステップ操作を再生するときは必ず AppScan が最初にログインします。このオプションは、マルチステップ操作の一部としてログインを記録する場合にはクリアされます。

再生最適化を許可する

(要求ベースの再生のみ) これが選択されている場合 (デフォルト)、AppScan® は、不要な再生を回避することにより、スキャン時間を最適化しようとします。この設定は、再生の最適化が原因で、AppScan® でアプリケーションの一部がなくなったことが検出されない限り、無効にしないでください。スキャン・ログ は、これを確認するのに役立ちます。

シングル・スレッド・モードでのテスト

AppScan® は、複数の要求の間でシーケンスの再生が不要な場合、それら複数の要求を同時に送信できます。この結果、アプリケーションの一部がなくなった場合は、このチェック・ボックスを選択してください。

シーケンス変数

シーケンスの記録中に受信した変数をリストし、追跡する必要があると AppScan® が決定した変数を示します。これらはセッション ID または他の変数である可能性があります。このリスト内の変数の状況を変更して、AppScan® がそれらの変数を処理する方法を改善できます (詳しくは、「シーケンス変数」を参照)。

関連トピック:

AppScan を使用したマニュアル探査