ようこそ
HCL AppScan Standard バージョン 10.4.0 のドキュメントへようこそ。
はじめに
このセクションでは、ウィザードを使用したスキャンのセットアップを含む、基本的な製品の機能および手順について簡単に紹介します。
新機能
このセクションでは、このリリースにおける AppScan Standard 製品の新機能と拡張機能の他、推奨されない機能と、予想される変更についても説明します。
システム要件
ここでは、 を実行するマシンAppScan Standardに必要な最低限のハードウェアとソフトウェアの概要を示します。
インストール
インストール・ウィザードにより、簡単で迅速なインストールを実行できます。
ライセンス
このセクションでは、AppScan Standard の試用版および有料バージョンについて説明します。
自動スキャンの仕組み
このトピックでは、スキャンの「ステージ」と「フェーズ」の違いについて説明します。
Web アプリケーションと Web API
このトピックでは、AppScan によるテストの前にサイトを探査するために使用可能なさまざまな方法について説明しています。
基本ワークフロー
スキャン構成ウィザードを使用する単純な AppScan ワークフローを示した図です。
ホーム画面
AppScan のロード時に開くホーム画面で使用可能なオプションを説明します。
メイン画面のツアー
AppScan のメイン画面 (「問題」ビュー) の構成要素、およびすべてのメニューとツールバーについて説明します。
チュートリアル
この簡単なチュートリアルでは、スキャン構成ウィザードを使用した単純なアプリケーション・スキャンの構成、スキャンの実行、および結果の確認を行う手順を順番に示します。
サンプル・ファイル
サンプル・ファイルは、AppScan の使用感、およびスキャン結果がどのように表示されるかを確認するのに役立ちます。
構成
ご使用のアプリケーションと希望するテストの種類に最も当てはまる設定を選択して、スキャンを構成します。
プリセット
プリセットでは、特定のタイプのスキャンに必要なメイン構成ビューが提供されます。
Postman コレクションを使用したスキャン
Web API への要求の Postman コレクションがある場合は、それをインポートして、スキャンの基礎として使用できます。
SCAN ファイルの構造
AppScan Standard SCAN ファイルの基本的な構造について説明します。
スキャン・テンプレート
スキャン・テンプレートとは、再使用できるように保存された単なるスキャン構成 です。
マニュアル探査
マニュアル探査を使用すると、実行中にフィールドおよびフォームを入力しながらアプリケーションの特定の部分を探査することができます。この方法を使用することで、サイトの特定のエリアが確実にカバーされ、AppScan では、すべてのフォームへの正しい入力に必要な情報を得ることができます。
ブラウザーの使用
Web アプリケーションを対象にしたマニュアル探査の場合、通常、組み込みの Chromium ブラウザーを使用できます。必要に応じて、外部ブラウザーを使用できます。
外部クライアントの使用
携帯電話、シミュレーター、またはエミュレーターを使用し、RESTful あるいはその他の非 SOAP Web API (またはセキュリティー・エンベロープを必要としない SOAP API) を手動で探査することができます。AppScan はそのトラフィック・レコーダーにドメインと要求を表示し、入力から適切なテストを作成します。
スキャン
スキャンの開始方法、スキャン中に何が行われるか、探査ステージの手動による操作方法、スキャン結果のエクスポート方法について説明します。
Data (データ)
データ・ビューには、スキャンの探査のステージ中にサイトの構造に関する情報が取り込まれます。
問題
「問題」ビューでは、スキャンの結果にアクセスできます。結果を概略レベルで表示することも、特定のテストまたはオブジェクトを選択して詳細にアクセスすることもできます。これらの詳細には、修正方法、要求/応答、および問題が発生したテスト・バリアント間の差が含まれます。問題の重大度を操作したり、(修正ありまたは修正なしで) テストを再送したり、問題に基づいたレポートを作成したりできます。
レポート
このセクションでは、スキャン結果からレポートを生成する方法について説明します。
セキュリティー・レポート
セキュリティー・レポートには、検出されたセキュリティー問題に関する情報が出力され、ユーザーは必要なコンテンツ・タイプに応じて各種テンプレートから選択することができます。
業界標準のレポートおよびコンプライアンス・レポート
業界標準のレポートを使用すると、アプリケーションが、選択した業界の委員会の標準に準拠しているかどうかが分かります。コンプライアンス・レポートを使用すると、アプリケーションが、特定の規制や法定基準に準拠しているかどうかが分かります。
差分分析レポート
「差分分析」レポートでは、2 組のスキャン結果が比較され、URL とそこで発見されたセキュリティー問題の差異が示されます。
テンプレートに基づくレポート
「レポート作成」ダイアログ・ボックスの「テンプレートに基づく」タブでは、ユーザーが必要とするデータのみを指定して、ユーザーが定義する文書フォーマット設定で、Microsoft® Word DOC および DOCX 形式のレポートを作成できます。
ツール
このセクションでは、HCL AppScan Standard が提供する追加ツールの使用法を説明します。
「オプション」ダイアログ・ボックス
このセクションでは、AppScan をカスタマイズするために、「オプション」ダイアログ・ボックス (「ツール」>「オプション」) から制御できるオプションについて説明します。
Web API ウィザード拡張
この拡張機能では、Open API 記述ファイルを使用してスキャンできます。この拡張機能は「ツール」 > 「エクステンション」 > 「Web サービス・ウィザード (オープン API)」から利用でき、デフォルトで有効になっています。
パワー・ツール
AppScan は 5 つのユーティリティー (パワー・ツール) にアクセスします。各パワー・ツールは、アプリケーションのセキュリティーを管理したり、 AppScan を使用する際に役立つ特定の機能を提供します。
ログ
ログは、トラブルシューティングに役立ちます。
検索結果
すべてのビューで特定のデータについて「結果リスト」をフィルタリングすることができます。
Integrations
このセクションでは、その他のアプリケーションと AppScan Standard との統合について説明します。
AppScan on Cloud
このセクションでは、クラウド上のアプリケーションをスキャンするために、AppScan Standard が HCL AppScan on Cloud と対話する方法について説明します。
AppScan Enterprise
このセクションでは、AppScan Standard 版と Enterprise 版の相互作用について説明します。
自動化フレームワーク
QA 自動化フレームワーク (Selenium など) のために記述されたスクリプトを使用して、AppScan スキャンでマニュアル探査記録を作成することができます。
ベスト・プラクティス
このセクションでは、上級ユーザー向けのベスト・プラクティスおよびユース・ケースについて説明します。
上級ユーザー用のワークフロー
このワークフローは、Web セキュリティー分野の経験を持つユーザーが、さらに詳細なスキャンを実行する場合に役立ちます。
パラメーター・ベースの移動を使用するサイト
単一の URL を使用してすべてのページにアクセスできるサイトでは、特定のスキャン構成が必要です。
ライブ実稼働環境のスキャン
AppScan を使用してライブ・サイトをスキャンする前に、以下のリスクと提案について考慮してください。
テストの最適化の理解
このセクションでは、テストの最適化の動作と、テストの最適化を開発ライフサイクルに組み込むための最善の方法について説明します。
よくある質問
このトピックでは、一般的なアプリケーションについての質問を扱います。
外部トラフィック・レコーダーによって記録できない
外部デバイスが適切に構成されている場合、AppScan の外部ログイン・レコーダーと外部トラフィック・レコーダーは、ユーザーがそのデバイスから送信するトラフィックを、送信ごとに表示します。このセクションでは、そのように表示されない場合の対処方法を提示しています。
ログインのトラブルシューティング
「スキャン構成」 > 「ログイン管理」ビューでのセッション検出の問題のトラブルシューティングのヒント。
マルチステップ操作のトラブルシューティング
アクション・ベースのマルチステップ操作のトラブルシューティングに関するいくつかの提案。
セッション外のトラブルシューティング
セッション外の問題のトラブルシューティングについていくつか提案します。
Postman コレクション・スキャン
Postman コレクション・スキャンのトラブルシューティングに関するいくつかの提案。
サーバーが応答していない
サーバーが応答しない場合のトラブルシューティングについていくつか提案します。
署名なしエクステンションの置換
以前のバージョンの AppScan で使用した署名なしエクステンションを使用する場合は、それを信頼するよう選択することも、それの代わりとなる署名済みバージョンがあるか確認することもできます。
拡張サポート・モード
拡張サポート・モードでは、AppScan のすべてのアクティビティーがログに記録されます。問題のある手順のトラブルシューティングのため、それらのログをパッキングしてサポート・プロバイダーに送信することができます。
デフォルト・ブラウザーの変更
標準装備のブラウザー以外のブラウザーを使用するように AppScan を構成することができます。
ログ
このセクションでは、スキャン・ログ・メッセージについて説明します (「表示」>「スキャン・ログ」)
CLI
このセクションでは、コマンド行インターフェースを使って使用できる構文およびオプションを説明しています。
参照
メニューおよびツールバーの概要および用語集
ブラウザーのツールバー
アプリケーション応答に関するスクリーン・ショットの表示および保存に使用される、組み込みの AppScan® ブラウザーのツールバー上のアイコン。
キーボードショートカット
AppScan には、次のキーボード・ショートカットが用意されています。
アクセシビリティー制御
すべてのキーボード・ショートカットおよび制御について説明します。
一時ファイル
AppScan® が通常の操作中に一時ファイルを保存する場所と、その場所の変更方法を説明します。
用語集
この用語集は、AppScan® Standard のユーザー・インターフェースおよび資料で使用されている用語と頭字語について説明します。
CWE サポート
共通脆弱性タイプ一覧 (Common Weakness Enumeration) は、公的に認識されているソフトウェアの脆弱性に関する一般名を提供する業界標準のリストです。以下に示す CWE の ID と、その親 ID または子 ID が、現在のバージョンの AppScan Standard でサポートされています。