拡張構成
このビューを使用すると、多くの詳細なレジストリー設定にアクセスできます。このビューは、経験のある AppScan ユーザーのみ、または問題をトラブルシューティングするためにサポート・チームから指示された場合にのみ使用してください。
Name |
説明 |
考えられるユースケース |
---|---|---|
アクション・ベース: |
||
ログイン再生のブラウザー |
ログイン手順を記録する場合は、常に組み込みの AppScan ブラウザーが使用され、アクション・ベースの記録が行われます。ただし、スキャン時に記録を再生する際に AppScan が使用するブラウザーを構成することができます。オプションは以下のとおりです。
デフォルト: 0 |
|
テスト・ステージ中に使用できるブラウザー・インスタンスの数 |
スキャンのテスト・ステージ中に使用できるブラウザー・インスタンスの数を設定します。 デフォルト = 5 |
サイトでクライアント JavaScript コードを集中的に使用していて、結果として AppScan がスキャン中にフリーズする場合、この数を減らします。 |
メモリーの消費制限 |
AppScan のメモリー使用量がしきい値に達した場合、AppScan は、スレッド数を制限してリソースの使用を削減するように動作します。 デフォルト = 1000 MB |
|
マルチステップ再生ブラウザー |
マルチステップ・シーケンスを記録する場合は、常に組み込みの AppScan ブラウザーが使用され、アクション・ベースの記録が行われます。ただし、スキャン時に記録を再生する際に AppScan が使用するブラウザーを構成することができます。オプションは以下のとおりです。
デフォルト: 1 |
|
マルチステップ再生、非相互作用タイムアウト |
マルチステップ操作の再生を停止するための非相互作用タイムアウト (秒単位)。 デフォルト: 10 |
|
自動探査でスクリーンショットを保存 |
AppScan は、自動探査中にアクセスするすべてのページのスクリーンショットを保存できますが、パフォーマンスに影響を与える可能性があり、データが保存される一時フォルダーのサイズが大幅に増加します。 デフォルトでは、探査データは次の場所に保存されます。
AppScan を閉じると、データは削除されます。 デフォルト: False |
自動探査のステージを確認するためにこれらのスクリーンショットを確認する場合は True に変更します。AppScan を閉じると、スクリーンショットは保存されないことに注意してください。 |
単一のログイン試行のタイムアウト |
ブラウザーが強制的にクローズされるまでに、単一のアクション・ベースのログイン試行のブラウザーによる再生を AppScan が待機する時間 (秒単位)。 デフォルト: 120 |
|
.NET Web クローラーの使用 |
デフォルトでは、 AppScan は .NET ベースの Web クローラーを使用します。必要に応じて、この設定を False に変更して、代わりに Java ベースのクローラーを使用できます。 デフォルト: 真 |
Web クローラーがアプリケーションを完全にカバーしていない場合、または AppScan 10.0.8 よりも十分にカバーしていない場合 (Java クローラーがデフォルトのクローラーだった場合) は、代わりに Java クローラーを使用するように設定を False に変更してみてください。 |
AWS 認証 | ||
Cognito の更新間隔 |
Cognito キー更新要求を確認する間隔 (秒数)。 デフォルト: 270 |
|
通信: |
||
Accept-Language 要求ヘッダー値 |
すべての HTTP 要求の Accept-Language ヘッダーに送信されるストリング。 このストリングをユーザーが定義しなかった場合、AppScan は、ユーザーがログイン手順やマルチステップ操作を記録するため、あるいはページを表示するために開いたこのスキャンで、ブラウザーから最初に送信された値を使用します。 注デフォルトのブラウザーを変更する場合は、デフォルト・ブラウザーの変更 にリストされている条件を参照してください。 デフォルト: ja-JP |
探査ステージにおいて、Internet Explorer のヘッダー値が原因となって、AppScan が予期しない応答を受信する場合があります。このような場合、このサイトとの対話時にどの値を Accept-Language ヘッダーで使用すべきかを確認し、その値をこの設定 (または Internet Explorer) に定義する必要があります。 |
カスタム・ヘッダー |
AppScan がサイトに送信するすべての要求に追加するカスタム・ヘッダーを定義できます。 デフォルト: empty |
サイトで特定のヘッダー内容が予期されている場合 (例えば、特定のクライアントまたはブラウザーのプラグインによってサイトにアクセスするなどの場合) は、そのヘッダーをここで定義します。それぞれのヘッダーの前に区切り文字を指定する必要があります。ヘッダーと値の間には、コロンとシングル・スペースが必要です。 形式: 区切り文字|ヘッダー|コロンとシングル・スペース|値 例 1: (この例の場合、区切り文字は ; )例 2: (この例の場合、区切り文字は , ) |
すべてのフォーム・アクションに対してパラメーターのない HTTP 要求を強制する |
場合によっては、パラメーターが指定されていない フォームの処理要求を受け取ったときのサーバー・サイドのロジックの動作が異なることがあります。 True に設定すると、AppScan はすべてのフォームに対してパラメーターのない追加要求を送信します。その結果、追加の Web ページおよび機能へのリンクを持つカスタム・エラー・ページが返されることがあります。 デフォルト: True |
スキャン中のトラフィックを確認し、パラメーターのないフォームの処理要求が原因でアプリケーションのタイムアウトや異常終了が発生することがわかった場合は、このオプションを False に設定することをお勧めします。 |
すべての要求に Content-Length ヘッダーを含める |
一部のサーバーでは、メッセージ本文のセマンティクスが定義されていない要求 (GET メソッドなど) でも、Content-Length ヘッダーが必要です。欠落している場合、サーバーは要求を拒否します。これを解決するために、Content-Length ヘッダーを持たない要求に対して、AppScan がこのヘッダーを追加します。 True の場合、Content-Length ヘッダーがまだ含まれていない要求に対して、AppScan がこのヘッダーを追加します。 False の場合、Content-Length ヘッダーがまだ含まれていない要求に対して、次の場合にのみ AppScan がこのヘッダーを追加します。
デフォルト: 真 |
デフォルトの動作でサーバーからの 400 Bad Request 応答が発生する場合は、GET 要求に対して Content-Length ヘッダーが予期されていないことが原因です (通常、GET 要求には要求本文が含まれていないため)。この設定を False に変更してください。 |
すべての要求に AppScan デバッグ・ヘッダーを含める |
True に設定されている場合は、AppScan によってサイトに送信されるすべての要求に、HTTP ヘッダーが追加されます。ヘッダー名は「X-AppScan-Debug」であり、その値には、AppScan がこの特定の要求を送信する理由 (探査、テスト、ログイン再生、サーバー障害検査など) についての情報が含まれます。 デフォルト: False |
スキャンが「X-AppScan-Debug」ヘッダーを送信するように構成すると、Web デバッガー、プロキシー、アナライザー、スニファーなどの外部ツールで AppScan® トラフィックを追跡するときに役立ちます。 注一部のサイトは、このような特殊なヘッダーを含む要求をすべて拒否することがあります。 |
最大応答長 |
AppScan は、メモリー消費量に関する問題を回避するため、長い応答を切り捨てます。この設定は、許可する最大応答長をメガバイト単位で定義します。これより長い応答はエラーとして扱われます。 デフォルト: 8 |
AppScan でリンクが認識されていないかセッションが無効になっているように見える場合、アプリケーションが長い応答を送信することが分かっているときは、最大応答長を増やすことによって問題が解決することがあります。 |
Accept-Encoding ヘッダーの削除 |
AppScan はすべてのエンコードをサポートしているわけではないため、サポートしていないエンコードを除去します。この設定が有効になっている場合、AppScan® は、サポートしていないエンコードだけでなく、ヘッダー全体を除去します。 デフォルト: True |
AppScan の要求をサーバーが拒否する場合、予期しない応答をサーバーが返す場合、または AppScan がセッションを維持できない場合は、トラフィック・ログを調べて、AppScan が送信する要求とご使用のブラウザーが送信する要求を比較する必要があります。ブラウザーの Accept-Encoding ヘッダーが異なっているか欠落している場合は、この設定を有効にする必要があります。 |
サーバー接続を再使用する |
デフォルトでは、AppScan は TCP 接続を使用後に閉じます。これは、開いている接続と保存データによってスキャン結果が影響を受ける可能性があるからです。 True に設定すると、AppScan は接続を使用後も開いたままにし、可能な限り、開いている接続の再使用を試みます。 デフォルト: False |
Web サーバー上でネットワーク・リソースが使い尽くされるというエラーが発生する場合は、この設定を True に変更することにより、問題を解決できる可能性があります。 |
セキュリティー・パッケージ順序 |
AppScan は、基本、ダイジェスト、NTML、ネゴシエーション、および Kerberos HTTP 認証をサポートしています。特定の方式の使用または不使用を AppScan に適用する場合、またはサイト/プロキシーで複数の方式が許可されているときに、方式の選択について優先順位を適用したい場合は、この値を編集します。 例えば、「NTLM」と「基本」だけを許可し、使用可能な場合は「NTLM」を優先して使用したい場合は、この文字列を編集して にします。 デフォルト: basic, digest, ntlm, negotiate, kerberos |
特定の認証方式がサイトで使用されており、AppScan がアクセスを拒否された場合、必要な方式を唯一の方式として定義すると、問題を解決することができます。 特定の方式 (例えば、「基本」と「NTLM」など) を使用してサイトをテストしたい場合、一方のスキャンを「基本」だけを使用するように構成し、もう一方のスキャンを「NTLM」だけを使用するように構成することができます。 |
スラッシュ正規表現 |
連続する 2 つ以上のスラッシュを 1 つのスラッシュに置き換えて、URL を正規化します。 デフォルト: True |
サイト URL で連続スラッシュを利用している場合は、この設定を非アクティブにしてください。 |
エラー応答を有効な応答として処理 |
AppScan は、通常のページとは異なる方法でエラー・ページを処理します (例えば、リンクの構文解析を行わないなど)。この設定を使用すると、すべてのエラー・ページまたは開始 URL に対するエラー・ページのみを通常のページとして処理するよう AppScan に指示できます。 0 に設定すると、AppScan はすべてのエラー応答を無効として処理します。 1 に設定すると、AppScan は開始 URL に対するすべてのエラー応答 (4xx および 5xx) を有効として処理します。 2 に設定すると、AppScan は、通常のページと開始 URL の両方について、すべてのエラー応答を正しい応答として処理します。 デフォルト: 0 |
開始 URL 応答がエラー・ページの場合、この設定を 1 に変更します。 スキャンによってエラー・ページからデータを抽出してテストしたい場合は、この設定を 2 に変更します。 デフォルト設定を変更すると、パフォーマンスに影響する可能性があることに注意してください。 |
HTTP の設定 |
AppScan がスキャン時に使用する優先 HTTP バージョンを定義します。サーバーが選択されたバージョンをサポートしていない場合、AppScan はサポートされている最適なオプションを選択します。オプションは以下のとおりです。
デフォルト: 1 |
重要: AppScan は、TLS 1.2 も使用している場合にのみ HTTP/2 Web サイトをスキャンできます。HTTPS 以外の Web サイト、および以前のバージョンの TLS を使用する Web サイトは、HTTP/1.1 でスキャンされます。 |
TLS サポート |
許可される TLS プロトコルをリストします。AppScan では、ユーザーによる構成とサーバーによって許可される最もセキュアなプロトコルを選択します。このフィールドの値はコンマ区切りリストである必要があります。 デフォルト: TLS 1.3、TLS 1.2、TLS 1.1、TLS 1.0
注: TLS 1.3 は、AppScan が OS 上で実行されている場合にのみサポートされます。Windows Server 2022、Windows 11 以降。 |
必要に応じて、許可されるプロトコルのリストに SSL 3.0 を追加できます。 |
全般: |
||
AppScan ブラウザーのスクリプト・エラー・ポップアップの抑止 |
AppScan 組み込みブラウザーで、アクション・ベースのログインの記録と再生、マニュアル探査、マルチステップの記録、ブラウザーでの表示中にスクリプト・エラー・ポップアップを抑止します。 デフォルト: False |
無関係なエラー・ポップアップ・メッセージによってアクション・ベースのログインの記録と再生が妨げられる場合は、この値を True に設定することで、それらを抑止できます。「HTTP 認証」エラーおよび「ActiveX コントロールのインストール」プロンプトなどの他のポップアップも抑止されることに注意してください。 |
「JS 要求のパターンをプロキシー・フィルターから除外する」を有効にする |
「JS 要求のパターンをプロキシー・フィルターから除外する」を有効にする |
|
機密データの暗号化 |
True の場合、AppScan (SCANT、LOGIN、SEQ、ASFF) を使用して保存またはエクスポートされたすべてのファイルで、以下のデータが暗号化されます。
False の場合、これらのファイルではパスワードと TOTP 秘密鍵のみが暗号化されます。 デフォルト: 真 |
|
冗長なテストをマージする |
True に設定すると、AppScan は、同じ 2 つ (またはそれ以上) の要求に対して 1 セットのテストのみを送信します (追加の Cookie は除く)。False に設定すると、そのような要求は、すべて個別にテストされます。 デフォルト: True |
この設定を False に変更すると、パフォーマンスが低下する可能性があります。サポートにより指示された場合のみ、False に変更してください。 |
プロキシー・ファイル拡張子フィルター |
ログイン、マニュアル探査、またはマルチステップ操作を記録するときに保存される URL のリストから削除されるファイル拡張子を定義する正規表現。正規表現を使用して拡張子を削除する場合、その拡張子で終了する URL は、フィルターによって記録から除外されません。 デフォルト: "\.(zip|Z|tar|t?gz|sit|cab|pdf| ps|doc|ppt|xls|rtf|dot|mp(p|t|d|e|a|3| 4|ga)|m4p|mdb|csv|pp(s|a)|xl(w|a)| dbf|slk|prn|dif|avi|mpe?g|mov(ie)?| qt|moov|rmi?|as(f|x)|m1v|wm(v|f| a)|wav|ra|au|aiff|midi?|m3u|gif| jpe?g|bmp|png|tif?f|ico|pcx|css| xml)$" |
CAPTCHA イメージ・ファイルなどの特定の種類のファイルを、参照のためにログイン記録に含める必要が生じる場合がまれにあります。そうした場合は、正規表現を使用してそのファイル拡張子 (この場合は |
ログのサニタイズ |
ログから機密情報を除去します。 デフォルト: True |
ログから機密情報を除去する必要がある場合は、このオプションをアクティブにし、除去するパターンを「機密情報パターン」オプションで定義します。 ただし、この設定を変更しても既に生成されたログには影響を与えません。 |
レポートのサニタイズ |
レポートから機密情報を除去します。 デフォルト: True |
レポートから機密情報を除去する必要がある場合は、このオプションをアクティブにし、除去するパターンを「機密情報パターン」オプションで定義します。 「スキャン構成」>「フォームの自動入力」で定義されたパスワードは、パターンが定義されていなくても、すべてのレポートから除外されます。 ただし、この設定を変更しても既に生成されたレポートには影響を与えません。 |
機密情報パターン |
ログおよびレポートから除外する 1 つ以上のグループを定義する正規表現。これは、「ログのサニタイズ」オプションまたは「レポートのサニタイズ」オプションがアクティブである場合に使用されます。 デフォルト: 空き |
レポートまたはログから機密情報を除去する必要がある場合は、対応するオプション (「ログのサニタイズ」または「レポートのサニタイズ」) をアクティブにし、ここで正規表現を使用して 1 つ以上のグループを定義します。 機密テキストは次のものに置き換えられます: **CONFIDENTIAL 1**、**CONFIDENTIAL 2**、など。 「スキャン構成」>「フォームの自動入力」で定義されたパスワードは、パターンが定義されていなくても、すべてのレポートから除外されます。 |
JavaScript | ||
JavaScript リンク・パターン |
AppScan は、さまざまなパターンを使用して、JavaScript™ コード内のリンクを識別します。通常とは異なるパターンがサイトで使用されている場合は、それらをこの正規表現で定義する必要があります。 デフォルト: empty |
AppScan が JavaScript コードのリンクを識別していないように思える場合で、サイトで通常とは異なる JavaScript のリンク・パターンが使用されている場合は、ここで 1 つ以上のパターンを定義して、検索対象を AppScan に通知します。 要求ベースの探査にのみ適用されます。 |
ローカライズ: |
||
HTML エンコード |
サイトの HTML 応答に定義されているエンコードをオーバーライドします。 デフォルト: 空き |
スキャン結果の応答の内容がゆがめられているように見える場合は、次のようなことが考えられます。 1) エンコード方式が AppScan® によって正しく識別されなかった。または、 2) サイトの HTML でエンコード方式が間違って定義されている。 1 の解決法: 「探査オプション」ドロップダウン・リストから正しい方式を選択します。 2 の解決法: 正しいエンコード方式をここに入力します。 |
パラメーターおよび Cookie |
||
冗長な JSON パラメーターをテストから除外 |
JSON コンテンツ・タイプの本文では、個別にテストする必要がない単一のパラメーターに複数の値を指定することができます。「True」に設定した場合、AppScan は、冗長な値を識別し、テストをサブセットに制限してスキャン時間の短縮を試みます。 デフォルト: True |
特定の重要なパラメーターがテストされなかったことを検出した場合は、設定を「False」に変更します。 |
冗長な XML パラメーターをテストから除外 |
XML コンテンツ・タイプの本文では、個別にテストする必要がない単一のパラメーターに複数の値を指定することができます。「True」に設定した場合、AppScan は、冗長な値を識別し、テストをサブセットに制限してスキャン時間の短縮を試みます。 デフォルト: True |
特定の重要なパラメーターがテストされなかったことを検出した場合は、設定を「False」に変更します。 |
ヘッダー内のカスタム・パラメーターを追跡 |
この設定は、AppScan v. 8.7.0.1 以前で保存されたスキャンにのみ適用されます。これ以降のバージョンでは、デフォルトの挙動は True に変更され、個々のパラメーターおよび Cookie の設定は以下のように制御されます。「スキャン構成」>「パラメーターおよび Cookie」>「パラメーター定義」>「オプションの追跡」>「一致:」「ヘッダーと本文」 (デフォルト) または「本文のみ」 (パラメーター定義を参照)。 デフォルトでは、AppScan (8.7.0.1 以前) は、カスタム・パラメーターを応答の本文内でのみ検索し、応答のヘッダー内では検索しません。この設定を True に変更すると、AppScan はヘッダー内も検索するようになります。 デフォルト: False |
応答ヘッダー内のパラメーターが変更されたことが原因となって、AppScan でセッションが無効になる場合は、この設定を変更することで問題が解決される場合があります。これを行うと、スキャン時間が長くなる場合があることに注意してください。 |
インライン・コンテンツが存在する場合のみテスト・ステージで動的パラメーターを追跡 |
テスト・ステージでの動的パラメーターの追跡により、パフォーマンス上の問題が起きる場合があります。したがって、デフォルトでは、テスト・ステージ中の動的パラメーターの追跡は、インライン・コンテンツを持つ応答でのみ行われます。 デフォルト: True |
この設定を False に変更するのは、この種の追跡が不可欠な場合のみに限定してください。 |
Postman の場合 |
||
ログイン分析のサンプル・サイズ |
Postman コレクションがアップロードされると、AppScan はそれを分析して、セッション内パターンの識別を試行します。AppScan はこのパターンを使用して、スキャン中にいつログアウトするかを検出します。この設定は、有効なパターンの識別を試行するために分析されるコレクションからの要求の数を定義します。 デフォルト: 7 |
AppScan が有効なセッション内パターンを自動的に識別できない場合は、この値を増やしてみてください。 |
サーバー障害の検出: |
||
探査で「サーバー障害」を確認 |
探査ステージ中のサーバー障害を確認するために、ハートビート要求の送信を有効にします。 デフォルト: True |
探査ステージで AppScan® がサーバー障害エラーを受信するが、実際にはサーバー障害が発生していない場合は、頻繁なハートビート要求をサーバーがブロックしていることがエラーの原因である可能性があります。 スキャン中に AppScan® で頻繁にセッションが無効になる場合は、開始 URL が Cookie なしのハートビートとしてサーバーに送信されていることが原因である可能性があります。 この設定を非アクティブにすると問題が解決される場合がありますが、AppScan がサーバーの状況を検証できなくなることに注意してください。 |
テストで「サーバー障害」を確認 |
テスト・ステージ中のサーバー障害を確認するために、ハートビート要求の送信を有効にします。 デフォルト: True |
テスト・ステージで AppScan がサーバー障害エラーを受信するが、実際にはサーバー障害が発生していない場合は、頻繁なハートビート要求をサーバーがブロックしていることがエラーの原因である可能性があります。 スキャン中に AppScan® で頻繁にセッションが無効になる場合は、開始 URL が Cookie なしのハートビートとしてサーバーに送信されていることが原因である可能性があります。 この設定を非アクティブにすると問題が解決される場合がありますが、AppScan がサーバーの状況を検証できなくなることに注意してください。 |
探査ステージの再接続の試行 |
AppScan が探査ステージを終了しようとしており、その前にいくつかのテストが「サーバー障害」が原因となって失敗していて、サーバーがまだ停止している場合、AppScan はサーバーへの接続を何度か試行します。 デフォルト: 5 |
サーバーが過敏に反応することが分かっている場合、または複数の通信エラーが原因で複数のテストが失敗している一方で、1 回の通信エラーが原因でスキャンが停止している場合は、この数値を増やす必要があります。 |
要求再試行間隔 |
失敗した要求 (失敗したハートビート要求を含む) を再送するまでの秒単位の間隔。 デフォルト: 1 |
接続環境が良くない場合や、サーバーが不安定な場合 (これは、検出漏れや、範囲の縮小につながる場合がある)、影響を小さくするためにこの間隔を増やすことができます。 |
要求の再試行制限 |
失敗した要求の送信の再試行回数。 デフォルト: 2 |
サーバーが不安定である場合や、通信環境がよくない場合は、この設定を増やすとスキャンの効率が向上することがあります。 |
サーバー障害のタイムアウト |
AppScan がサーバーに接続できなかった場合、またはセッションが無効になった場合は、AppScan でスキャンを停止する前に、この設定で定義された期間 (秒単位)、再接続またはセッションの再確立を試行します。 デフォルト: 185 |
接続速度が遅い場合、または障害後のサーバーの再ロードに時間がかかる場合は、この設定を増やすことをお勧めします。 |
サーバー障害のハートビート間隔 |
サーバー障害ハートビート間の秒単位の間隔。 デフォルト: 3 秒 最大: 60 秒 |
スキャン中に AppScan がサーバー障害エラーを受信する場合は、接続環境がよくないか、またはサーバーが不安定であることが原因である可能性があります。この間隔を増やすことによって問題が解決する場合があります。 |
テスト・ステージの再接続の試行 |
AppScan がテスト・ステージを終了しようとしており、その前にいくつかのテストが「サーバー障害」が原因となって失敗していて、サーバーがまだ停止している場合、AppScan® はサーバーへの接続を何度か試行します。 デフォルト: 5 |
サーバーが過敏に反応することが分かっている場合、または複数の通信エラーが原因で複数のテストが失敗している一方で、1 回の通信エラーが原因でスキャンが停止している場合は、この数値を増やす必要があります。 |
セッション管理: |
||
広告ドメイン |
共通 Web 広告ドメインを表す正規表現。ログイン手順の記録中にこれらのドメインに送信された要求は破棄されます。 デフォルト: ad\d.googlesyndication| doubleclick\.net|coremetrics\.|webtrends\ .|112\.2o7\.net|view.atdmt.com| ad.yieldmanager.com|ads.adbrite.com| oasn04.247realmedia.com| segment-pixel.invitemedia.com" |
ログイン手順はスキャン中に継続的に再生されるため、これらの不要な要求をフィルターで取り除くことにより、スキャンの効率を高めることができます。 正規表現を完全に削除すると、ドメインはフィルターでは取り除かれないことに注意してください。 |
ログイン記録の分析 |
ログイン手順を記録するとき (「スキャン構成」>「ログイン管理」)、AppScan はログイン手順を分析し、セッション内検出設定 (セッション内パターン、セッション内要求、およびログイン中に受け取ったセッション ID) を更新します。 デフォルト: True |
分析に時間がかかりすぎる場合、この設定を「False」に変更できます。ただし、これを行うと、セッション内検出設定を手動で構成する必要があります。 |
ログインをやり直す前に Cookie を消去する |
ログイン手順をやり直す前に、Cookie が削除されているかどうかを判別します。 デフォルト: True |
|
共通の静的パラメーター値 |
共通の静的パラメーター値。非ランダム・パラメーター値を検出するために使用されます。非ランダム・パラメーター値は、ログイン中にトラッキングされません。 デフォルト: |true|false|\bon\b|\boff\b|\ bout\b|checked|enabled|log\s?in|log\ s?out|exit|submit|sign|ever|disabled| agree |
|
探査ステージのセッション内バッファリングの無効化 |
探査ステージ中: 要求の送信時にユーザーがセッション外であったことが要求に対する応答によって示されると、AppScan は、その要求を再送信するためにキューに格納します。これにより、可能な限り広範囲にサイトがスキャンされることになります。 デフォルト: False |
サイトにより、ユーザーが頻繁にセッション外にスローされる場合は、セッション内バッファリングによって探査ステージが無限に続行されることがあります。このオプションを True に設定すると、探査ステージの処理速度は上がりますが、サイトの対象範囲が狭くなる可能性があります。 |
マルチステップ操作実行前のセッション内 |
デフォルトで、AppScan は、マルチステップ操作を再生する前にセッション内状況を検証します。 デフォルト: True |
未認証ユーザーでマルチステップ操作をテストする場合、またはマルチステップ・シーケンスにログイン手順が含まれる場合は、この設定を False に変更にします。 重要: 「スキャン構成」>「ログイン管理」>「詳細」>「セッション内検出を有効にする」が選択解除されており、この詳細設定が True (デフォルト) に設定されている場合、各マルチステップ操作の前にログイン手順全体が再生されます。 |
セッション内のハートビート間隔 |
セッション内ハートビート間の秒単位の間隔。 デフォルト: 5 |
スキャン中に AppScan® でセッションが無効になる場合は、接続環境がよくないか、またはサーバーが不安定であることが原因である可能性があります。この間隔を増やすことによって問題が解決する場合があります。 |
ログイン・コンテンツ・タイプ・フィルター |
ログイン手順およびマルチステップ操作手順からフィルタリングによって除去されるべきコンテンツ・タイプを定義する正規表現。ログイン手順またはマルチステップ操作手順が記録される際に、これらのコンテンツ・タイプのヘッダーを含むような応答を求める要求は、手順から除去されます。したがって、スキャン中に AppScan が手順を再生するときには、これらのコンテンツ・タイプのヘッダーを含む応答を求める要求は、手順の一部として送信されません。 デフォルト: text/javascript|application/javascript| application/x-javascript|image|text/css |
サイトのログイン手順、あるいは記録したマルチステップ操作のいずれかで、ここにリストされたコンテンツ・タイプのヘッダーを含むリンクをクリックする必要がある場合には、それを正規表現から除去してください。 |
ログインの再試行間隔 |
失敗したログイン要求を再送信する前の秒単位の間隔。 デフォルト: 3 |
AppScan® でセッションが無効になり、ログイン再試行が繰り返し失敗する場合は、頻繁なログイン試行をサーバーがブロックしていることが原因である可能性があります。この間隔を増やすことによって問題が解決する場合があります。 |
マルチパート のコンテンツ・タイプ・フィルター |
不要なメモリー消費を減らすために、特定のコンテンツ・タイプが自動的にマルチパート要求 (複数のコンテンツ・タイプを含む要求) からフィルターで除外されます。この正規表現で定義したコンテンツ・タイプのみがマルチパート要求に含まれ、他のものはすべてフィルターで除外されます。 コンテンツ・タイプ・ヘッダーがない コンテンツが、デフォルトで含まれるようになっており、次の値によって定義されています。
デフォルト: text/|text/plain|application/javascript| application/json|application/rtf|application/xml| text/xml|content_without_content_type_header |
重要なコンテンツ・タイプが要求からフィルターで除外される場合は、そのコンテンツ・タイプをこの正規表現に追加します。不要なコンテンツ・タイプを削除してそれらが送信されないようにすることで、メモリー消費量を減らすことができる場合もあります。 |
ナビゲーション・パラメーター・ホスト |
ホストを表す正規表現。ナビゲーション・パラメーターを (値に基づいて) 検出するために使用されます。ナビゲーション・パラメーターはログイン手順で追跡されません。 デフォルト: https?:// |
サイトのナビゲーション・パラメーター内で、デフォルトの正規表現ではフィルターで除去されない独自のホストを使用している場合は、それらを追加することによりスキャン効率を高めることができます。 この項目を削除すると、ナビゲーション・パラメーターが正しく識別されなくなる可能性があります。 |
ナビゲーション・パラメーター・スクリプト |
ナビゲーション・パラメーターを (パラメーター値に基づいて) 検出するために使用されるサーバー・サイド・スクリプトを記述する正規表現。ナビゲーション・パラメーターはログイン手順で追跡されません。 デフォルト: /[^/\.]+\.(htm|jsp|jsf|ws|dll|asp|php|do) |
サイトのナビゲーション・パラメーター内で、デフォルトの正規表現ではフィルターで除去されない独自のサーバー・サイド・スクリプトを使用している場合は、それらを追加することによりスキャン効率を高めることができます。 この項目を削除すると、ナビゲーション・パラメーターが正しく識別されなくなる可能性があります。 |
ナビゲーション・パラメーター |
ナビゲーション・パラメーターを表す正規表現。ナビゲーション・パラメーターはログイン手順でトラッキングされません。 デフォルト: \bnav|url|page|step|redirect|request| location|target|argument|item|article| goto|node|action|ctrl|control|source| menu|frame|command |
デフォルトの正規表現ではフィルターで除去されない独自のナビゲーション・パラメーターをサイトで使用している場合は、それらを追加することによりスキャン効率を高めることができます。 この正規表現を変更すると、スキャンの範囲が不十分になったり、セッションを正しく追跡できなくなったりする可能性があります。 |
セッション内ページの解析 |
False に設定すると、AppScan は、セッション内ページの解析を実行しません。また、セッション内ページで変更された値を持つ追跡対象パラメーターまたは Cookie を更新しません。 デフォルト: True |
セッション内ページに追跡対象 Cookie またはパラメーターが存在しない場合、この設定を False に変更することで、パフォーマンスを向上させることができます。False に設定すると、AppScan は、セッション内ページの Cookie またはパラメーターの値を更新しません。これにより、セッションが無効になる可能性があります。 |
パスワード・パラメーター名 |
パスワード・パラメーターを識別するために記録されたログイン分析により使用されます。正式名が必要です。 デフォルト: |
ログインをインポートする (アクション・ベースのログインを使用して記録するのではなく) と、AppScan がパスワード・パラメーター名を識別できない場合があります。これが発生した場合、「スキャン構成」>「自動」の「パスワード」フィールドは空です。これが発生した場合、ここに正式なパスワード・パラメーターを追加します。 |
ハートビート間の要求数 |
AppScan は、セッション内検出要求を送信した後、別のセッション内検出要求を送信する前に、少なくともここで定義した数の要求を送信します。 デフォルト: 1 |
サーバーからの応答が遅いために、スキャンがほとんどセッション内検出要求で構成される場合は (トラフィック・ログを参照)、この値を増やすことによってスキャン時間を短縮できます。 |
単一のアクション・ベース・ログイン試行のタイムアウト |
ブラウザーが強制的にクローズされるまでに、単一のアクション・ベースのログイン試行のブラウザーによる再生を AppScan が待機する時間 (秒単位)。 デフォルト: 120 秒 |
|
特別なパターン: |
||
フォームの自動入力から除外 |
ここにリストするパラメーター名は、フォームの自動入力から除外されます。 デフォルト: ^CFID __EVENTVALIDATION __VIEWSTATE ^CFTOKEN __EVENTARGUMENT __EVENTTARGET ^BV_ |
値が非常に長いパラメーターを指定すると、スキャンが遅くなり、ファイル・サイズが大きくなります。値が非常に長いパラメーターをアプリケーションで使用する場合で、それらのパラメーターがフォームの入力に不要な場合は、それらのパラメーターをこのリストに追加します。 |
テスト (Tests): |
||
自動リンク制限 |
デフォルト: 100,000 |
|
無視する自動リンク |
||
CSRF: 意味のある要求のパターン |
デフォルトで、AppScan は、POST 要求、および応答が「トランザクション成功 (Transaction Successful)」であった要求を対象として、クロスサイト・リクエスト・フォージェリーのテストを実行します。 この設定を使用すると、POST 要求だけでなく、その他の要求も、クロスサイト・リクエスト・フォージェリー脆弱性において「意味のある」要求として定義できます。 この定義は、「CSRF: 意味のある応答のパターン」と組み合わせて使用されます。 デフォルト: ^POST |
GET 要求に対してもクロスサイト・リクエスト・フォージェリーのテストを行う場合は、この正規表現を変更してください。 |
CSRF: 意味のある応答のパターン |
デフォルトで、AppScan® は、POST 要求、および応答が「トランザクション成功 (Transaction Successful)」であった要求を対象として、クロスサイト・リクエスト・フォージェリーのテストを実行します。 この設定を使用すると、「トランザクション成功 (Transaction Successful)」応答だけでなく、その他の応答も、クロスサイト・リクエスト・フォージェリー脆弱性において「意味のある」応答として定義できます。 この定義は、「CSRF: 意味のある要求のパターン」と組み合わせて使用されます。 デフォルト: トランザクション成功 |
他の種類の応答を受け取る要求についてクロスサイト・リクエスト・フォージェリー脆弱性テストを行う場合は、それらの応答をこの正規表現で定義してください。 |
必要でない場合は応答本文を省略する |
特定のタイプのテストでは、これは脆弱性を確認する応答本文ではありません。このコンテンツをスキャン・データの一部として保存すると、スキャン・サイズが増え、メリットはありません。そのため、デフォルトでは、AppScan はこのコンテンツを保存しません。この値を False に設定すると、スキャン・サイズが大幅に増加する場合があることに注意してください。 デフォルト: 真 |
n/a |
差異のしきい値 |
AppScan 多くの場合、テストが成功したかどうかを確認するために、2 つの応答を比較して、それらが「類似」しているか「差異」があるかを判別します。その際、AppScan は各種アルゴリズムを使用して「類似性の割合」 (100% は 2 つの応答が同一であることを意味する) を割り当てます。AppScan がテスト成果を判別する際、一部の例では「類似性の割合」が「類似性のしきい値」を上回るかどうかを基準にし、別の例では「類似性の割合」が「類似性のしきい値」を下回る かどうかを基準にします。いずれのしきい値も構成可能です。 多くのテストでは、デフォルトの「類似性のしきい値」は 95%、「差異しきい値」は 75% です。これは、次のことを示しています。
この設定に 1 から 100 の間の値 (%) を入力すると、すべてのテストのデフォルトの「差異しきい値」値はオーバーライドされます。「類似性のしきい値」を調整することが必要な場合があります。 デフォルト: 0 (AppScan のしきい値を使用) |
類似の応答にわずかな相違を生じさせる原因となる「動的」テキストがご使用のサイトにない場合は、この値を 75 未満に設定することにより、誤検出結果が少なくなる場合があります。 ヒント: 「類似性のしきい値」を調整することが必要な場合があります (以下を参照)。
|
Cookie のテストを無効にする |
この設定は、Cookie テストを完全にオフにするために使用します。 デフォルト: False |
アプリケーションの Cookie テストを実行するとスキャンに非常に時間がかかる場合は、テストを無効にすることもできます。ただし、これによって、セキュリティー問題が見落とされる (検出漏れが発生する) 可能性があります。 |
静的コンテンツに対する Cookie のテストを無効にする |
この拡張子を持つページに対する要求では Cookie をテストしません。 デフォルト: ;htm;html;ahtm;ahtml; chtm;chtml;fhtm;fhtml;mht; mhtm;mhtml;css;css1;js; |
スキャン時間およびメモリー消費量を削減するために、その他のタイプのページ拡張子も対象から除外したい場合があります。その場合は、それらをセミコロンで区切って、除外する拡張子のリストに追加します。 |
ディレクトリーまたはページをテストしない |
このオプションを使用すると、テスト・ステージ中の攻撃から特定のディレクトリーまたはページを除外する正規表現を定義できます。定義されたディレクトリーまたはページのみが除外され、サブディレクトリーまたはファイルは除外されないことに注意してください。 デフォルト: /wps/[^/]*/!ut/ |
特定のディレクトリーまたはページが脆弱でないことがわかっている場合や、特定のディレクトリーまたはページをテストするとサイトの安定性が損なわれる可能性がある場合は、それらのディレクトリーおよびページをこの正規表現で定義して、スキャン対象から除外できます。 フォルダーおよびそのすべてのサブフォルダーを除外する方法については、除外するパスおよびファイルを参照してください。 |
すべての応答からリンクを抽出 |
デフォルトで、AppScan は、テスト・ステージにおける新しいリンクの検索を、脆弱な応答内のみを対象として実行します。 デフォルト: False |
AppScan® がリンクを認識していない可能性があるか、範囲が十分ではないと考えられる場合は、この設定を有効にすることができます。ただし、これによって、スキャン時間が長くなり、ファイル・サイズが増えます。 |
すべての自動リンクを参照 |
デフォルトで、AppScan は、脆弱性が含まれている可能性がある自動リンク* のみを参照します。これらは、以下のとおりです。iFrame、Frame、および Redirect です。すべて のタイプの自動リンクを参照するように AppScan を構成できます。 「無視する自動リンク」で定義されている正規表現に一致する要求は、この設定に関係なく、常に送信されない ことに注意してください。 デフォルト: False * 自動リンク: ユーザーが対話することなく、ブラウザーによって自動的に送信される、Web ページ上のリンク。 |
他のタイプの自動リンク (スクリプトなど) の脆弱性がサイトに含まれていると考えられる場合は、この設定を有効にします。これにより、スキャン時間が長くなり、ファイル・サイズが増えます。 |
テストするエンティティーのリスト |
「パイプ」によって区切られるエンティティーのリスト。デフォルトでのすべての有効なエンティティーを次に示します。HttpServer | Directory | Path | Parameter | Cookie Name | Html Comment | Request | ClientScript | Response Cookie | Link | Page | Privilege Escalation Request | Header |
|
テスト後にログイン |
テストを単一スレッドで送信して、セッション内を検証するか、各テスト後にログイン手順を送信します。 0 = False 1 = テストを単一スレッドで送信して、各テスト後にセッション内を検証します。セッション無効の場合、ログイン手順を送信します。 2 = テストを単一スレッドで送信して、各テスト後にログイン手順を送信します。 デフォルト: 0 |
設定 1 または 2 は、重要セッションを使用するアプリケーションに必要な場合もありますが、セッションやメモリーの問題を回避するために、頻繁なログアウトを必要とします。その場合、スキャン時間がかなり長くなります。 |
マルチステップ操作: 検証限界値 |
現在テストしているステップの後で、検証されるマルチステップ操作シーケンスからの後続の要求の最大数。 デフォルト: 0 |
詳しくは、シーケンスの検証を参照してください。 |
応答内で無視するパターン |
この正規表現は、テスト応答の分析時に AppScan® が無視する応答のセクションを定義します。 テストが成功したかどうかを判別するために応答を比較するときに、AppScan は、応答全体での変更率を測定します。応答が非常に長く、変更がごくわずかの場合、AppScan® は差異を見逃し、脆弱性を認識しない可能性があります。 デフォルト: <input[^>]+(__VIEWSTATE|__ EVENTTARGET| __EVENTARGUMENT| __EVENTVALIDATION) [^>]+> |
サイトが重要ではない長いセクションを含む応答を送信する場合は、それらのセクションをここに定義することによってスキャンの精度とパフォーマンスが向上する場合があります。 |
オリジナルの応答の間隔を更新する |
テスト・ステージ中に (要求を再送信して) オリジナルの応答を更新するまでの間隔 (秒数)。 テスト応答がぜい弱性を示しているかどうかを AppScan が判別する方法の 1 つは、それを探査応答と比較する方法です。探査応答が、ここで設定された値より古い場合、テストを送信する前に探査要求が再送信されます。それにより、更新された探査応答を比較に使用できるようになります。これは、探査応答が時間によって変化する可能性が高く、テスト応答を古い探査応答と比較することで誤った結果になる可能性がある場合には重要です。 デフォルト: 30 (秒) |
ご使用のアプリケーションの応答がこの方法で古くて使用できないものになることがないことが明らかな場合は、この設定をゼロに変更してスキャン時間を削減することができます。探査ステージ要求が再送信されることはありません。 |
ポート・リスナー・テストの送信 |
デフォルトで、AppScan は、ポート・リスナー・テストを送信しません。これは、テストが失敗する可能性が高く、検証に長い時間がかかるためです。 デフォルト: False |
ネットワークに外部サイトが含まれている場合は、そのサイトがローカル IP アドレスを認識できるように、このタイプのブラインド SQL 注入テストをアクティブにすることができます。 |
類似性のしきい値 |
AppScan 多くの場合、テストが成功したかどうかを確認するために、2 つの応答を比較して、それらが「類似」しているか「差異」があるかを判別します。その際、AppScan は各種アルゴリズムを使用して「類似性の割合」 (100% は 2 つの応答が同一であることを意味する) を割り当てます。AppScan がテスト成果を判別する際、一部の例では「類似性の割合」が「類似性のしきい値」を上回るかどうかを基準にし、別の例では「類似性の割合」が「類似性のしきい値」を下回る かどうかを基準にします。いずれのしきい値も構成可能です。 多くのテストでは、デフォルトの「類似性のしきい値」は 95%、「差異しきい値」は 75% です。これは、次のことを示しています。
この設定に 1 から 100 の間の値 (%) を入力すると、すべてのテストの「類似性の割合」値はオーバーライドされます。 デフォルト: 0 (AppScan のしきい値を使用) |
類似の応答にわずかな相違を生じさせる原因となる「動的」テキストがご使用のサイトにない場合は、このパーセンテージを大きくすることにより、誤検出結果が少なくなる場合があります。 ヒント: 「差異しきい値」を調整することが必要な場合があります (以下を参照)。 |
XSS: ブラウザーを使用して再検証 |
一部のクロスサイト・スクリプティングの問題では、実際のブラウザーを使用してサイトの応答を確認することで、警告ポップアップをより正確に特定でき、誤検出結果を減らすことができます。 デフォルト: True |
|
XSS: 反映されたプローブをすべてテスト |
通常、特定のペイロード・テキストがサイトからの応答に複数含まれている場合、それらの脆弱性レベルはすべて同じであるため、AppScan はそれらのうちの 1 つだけをテストします。 デフォルト: False |
単一の応答内でペイロード・テキストのすべての 出現箇所をテストする場合は、これを True に設定します。 |