セッション ID
サイトが (Cookie またはパラメーターの形式の) 時間制限付きのセッション ID を使用する場合、サイトは有効期限が切れたトークンを含む要求を拒否します。そのため、サイトはテストに失敗します。
したがって AppScan は、時間制限付きのセッション ID である HTML パラメーターや Cookie を識別し、取り扱うことができる必要があります。AppScan はセッション ID に利用可能な最新の値を割り当て、アプリケーション・セッションの有効期限切れを防止します。
AppScan がセッション ID の値を自動的に更新するかどうか決定することができます。セッション ID の「状態」を設定します。
- ログイン値: (推奨) このパラメーターを含むテスト要求を送信するときに、AppScan はセッション ID を、セッション内要求より先にアプリケーションから受信した値で自動的に更新します。ヒント: セッション内応答のパラメーターを追跡するには、そのタイプを「ログイン値」ではなく「ダイナミック値」に設定して、「スキャン構成」>「詳細構成」>「セッション管理: セッション内ページの解析」が「True」 (デフォルト設定) に設定されていることを確認します。特定の値を設定しなければならない特定の必要がない限り、ほとんどのパラメーターおよび Cookie には、この状態が推奨されます。ただし、ログイン値セッション ID が使用されると、値がデータベース内にある間に有効期限が切れる可能性があります。注: ログインの記録がマルチステップ・シーケンスの一部である場合は、受け取ったパラメーターをログイン値として定義しても、その使用方法には影響しません。常にダイナミック値として扱われます。詳しくは、マルチステップ操作を参照してください。
データベース内のある追跡対象セッション ID を更新するには、スキャンを実行する直前に、セッション ID が送信される URL にアクセスします。新規のセッション ID が、更新された値で送信されます。
-
ダイナミック値:AppScan は、(例えば、シャドー Cookie と同様に) テスト前に Web アプリケーションで設定された新規の値に従って、テスト・ステージ中にセッション ID の値を自動的に更新します。
「ダイナミック」 は、固有のセッション ID が特定の使用手順で更新されるように求めるセキュリティー手段を Web アプリケーションが実施することがわかっている場合にのみ選択してください。
-
固定値: 固定値を保持します。Web アプリケーションのセキュリティーで、このセッション ID が常にこの値を持つ必要がある場合は、セッション ID に固定値を設定します。
探査ステージ中に、AppScan は、セッション ID と思われる Cookie および HTML パラメーターを自動的に検出し、それをリストに追加します。セッション ID であることがわかっている Cookie およびパラメーターは、スキャンの構成時に手動で追加できます。