「要求/応答」タブ
「詳細」ペインの 3 番目のタブは「要求/応答」です。
「要求/応答」タブには、テストに関する情報とテスト特定のバリアントが含まれます。これらは、ご使用の Web アプリケーションのどこに脆弱性があるかを発見するためにアプリケーションに送信されたものです。テストによっては複数のバリアントが 含まれる場合があります。バリアントとは、AppScan が Web アプリケーション・サーバーに送信した元のテスト結果とわずかに違うものです。(AppScan はまず、正当な、アプリケーションのビジネス・ロジックに沿った要求を送信します。次に、不正または誤った要求がアプリケーションでどのように処理されるかを確認する目的で変更された同様の要求を送信します。個々のテスト要求は、AppScan データベース全体におけるすべてのセキュリティー規則を網羅するために必要な数だけ、バリアントを持つことができます。
例えば、特定のパラメーターのユーザー入力規則が守られていることを確認するために送信されるテストについて考えて見ましょう。あるバリアントは、アポストロフィが有効な入力でないことを検査し、別のバリアントは引用符が許可されていないことを検査します。
バリアント自体は赤のテキストで表示され、検証 (セキュリティー問題の存在を示す応答の一部) が黄色で強調表示されます。
「要求/応答」タブには、大量の説明情報の他に、スキャン結果の認識と使用に関する拡張機能が用意されています。
「要求/応答」タブには、2 つのペインがあり、上部にそのタブ独自のツールバーがあります。ツールバーとタブは以下の図のように表示されます。要約については下記の表を参照してください。
ツール |
関数 |
---|---|
バリアント < > |
現行のテストのバリアントの数を示します。 < と > アイコンをクリックして、それぞれ 前のバリアントと次のバリアントに切り替えることができます。 |
テスト/オリジナル |
オリジナル情報とテスト情報で切り替えます。 |
次の強調表示 |
(検証テキストが強調表示されている場所で有効です。)カーソルを次の強調表示テキストに移動します。 |
ブラウザーで表示 |
ブラウザーから画面キャプチャーを取得するオプションがある標準装備のブラウザーを開いて現行ページを表示します。 ブラウザーが開くと、ブラウザーのツールバーにあるカメラ・アイコン をクリックして、そのページの画面キャプチャーを取得することができます。画面キャプチャーは、「問題情報」タブに追加されます。 |
「オプション」 > 「誤検出を報告」 |
現在のバリアントを AppScan® サポート・チーム、またはお客様の企業内に E メールで送信するために使用します。(「誤検出のテスト結果を報告」を参照。) |
「オプション」 > 「マニュアル・テスト」 |
テストを変更し、これをマニュアル・テストとして保存します。(「マニュアル・テスト」を参照。) |
「オプション」 > 「バリアントを削除」 |
選択されたバリアントをテスト結果から永久に削除します (復元できません)。これは、「結果」ペインでバリアントを右クリックすることによっても実行できます。「オプション」 > 「脆弱でないとして設定」 |
「オプション」 > 「脆弱でないとして設定」 |
選択されたバリアントの定義を「脆弱でない」に変更します。 ユーザーにより「脆弱でない」に変更された検出応答は、スキャン結果から削除され、レポートには含まれません。ただし、非脆弱リストからは参照できます。(非脆弱リスト を参照。) |
「オプション」 > 「エラー・ページとして設定」 |
現在のページをエラー・ページ (「スキャン構成」ダイアログ・ボックス >「エラー・ページ」) のリストに追加し、結果を更新して、この応答がエラー・ページであるという事実を反映させます。 |
「オプション」 > 「問題情報に追加」 |
現在の問題について結果の検討を実行し、新しい情報が有効になった場合、これを「問題情報」タブに追加します。 |
検索(I) |
特定のストリングを検索するためのテキストを入力します。(「「結果リスト」でセキュリティー問題をフィルタリングする」を参照。) |
バリアントの詳細 |
右側のペインには、現行バリアントの詳細が表示されます。この詳細には、ID、説明、差 (このバリアントとオリジナルの要求の間の差)、推理、および CWE ID が含まれます。 |