「要求/応答」タブ
「詳細」ペインの 2 番目のタブは「要求/応答」です。
「要求/応答」タブには、テストに関する情報とテスト特定のバリアントが含まれます。これらは、ご使用の Web アプリケーションのどこに脆弱性があるかを発見するためにアプリケーションに送信されたものです。テストによっては複数のバリアントが 含まれる場合があります。バリアントとは、AppScan が Web アプリケーション・サーバーに送信した元のテスト要求とはわずかに異なる要求です。(AppScan はまず、アプリケーションのビジネス・ロジックに沿った正当な要求を送信します。次に、不正または誤った要求がアプリケーションでどのように処理されるかを確認する目的で変更された同様の要求を送信します。個々のテスト要求は、AppScan データベース全体におけるすべてのセキュリティー規則を網羅するために必要な数だけ、バリアントを持つことができます。
例えば、特定のパラメーターのユーザー入力規則が守られていることを確認するために送信されるテストについて考えて見ましょう。あるバリアントは、アポストロフィが有効な入力でないことを検査し、別のバリアントは引用符が許可されていないことを検査します。
バリアント自体は赤のテキストで表示され、検証 (セキュリティー問題の存在を示す応答の一部) が黄色で強調表示されます。
「要求/応答」タブには、大量の説明情報の他に、スキャン結果の認識と使用に関する拡張機能が用意されています。
「要求/応答」タブには、2 つのペインがあり、上部にそのタブ独自のツールバーがあります。ツールバーとタブは以下の図のように表示されます。要約については下記の表を参照してください。
|
ツール |
機能 |
|---|---|
|
バリアント < > |
現行のテストのバリアントの数を示します。 < と > アイコンをクリックして、それぞれ 前のバリアントと次のバリアントに切り替えることができます。 |
|
テスト/オリジナル |
オリジナル情報とテスト情報で切り替えます。 |
|
次の強調表示 |
(検証テキストが強調表示されている場所で有効です。)カーソルを次の強調表示テキストに移動します。 |
|
ブラウザーで表示 |
ブラウザーから画面キャプチャーを取得するオプションがある標準装備のブラウザーを開いて現行ページを表示します。 ブラウザーが開くと、ブラウザーのツールバーにあるカメラ・アイコン |
|
「オプション」 > 「誤検出を報告」 |
現在のバリアントを AppScan® サポート・チーム、またはお客様の企業内に E メールで送信するために使用します。「誤検出のテスト結果を報告」を参照してください。 |
|
「オプション」 > 「マニュアル・テスト」 |
テストを変更し、これをマニュアル・テストとして保存します。「マニュアル・テスト」を参照してください。 |
|
「オプション」>「要求/応答を保存」 |
選択したテスト・バリアントの要求/応答の詳細を zip ファイルに保存します。 |
|
「オプション」 > 「脆弱でないとして設定」 |
選択されたバリアントの定義を「脆弱でない」に変更します。 このオプションは、最初 AppScan によって脆弱でない項目と識別された誤検出に対してのみ使用できます。元々「脆弱でない」とフラグが付けられたが、後で「脆弱」に修正されたバリアントのみ、このオプションを使用して、「脆弱でない」に戻すことができます。 |
|
「オプション」 > 「エラー・ページとして設定」 |
現在のページをエラー・ページ (「スキャン構成」ダイアログ・ボックス >「エラー・ページ」) のリストに追加し、結果を更新して、この応答がエラー・ページであるという事実を反映させます。 |
|
「オプション」 > 「問題情報に追加」 |
現在の問題について結果の検討を実行し、新しい情報が有効になった場合、これを「問題情報」タブに追加します。 |
|
検索 |
特定のストリングを検索するためのテキストを入力します。(「結果リストでのセキュリティー問題の検索とフィルタリング」を参照)。 |
|
バリアントの詳細 |
右側のペインには、現行バリアントの詳細が表示されます。この詳細には、ID、説明、差異 (このバリアントとオリジナルの要求の間の違い)、論拠、および CWE ID が含まれます。 |
をクリックして、そのページの画面キャプチャーを取得することができます。画面キャプチャーは、「問題情報」タブに追加されます。