このセクションでは、HCL AppScan Standard が提供する追加ツールの使用法を説明します。
AppScan は 5 つのユーティリティー (パワー・ツール) にアクセスします。各パワー・ツールは、アプリケーションのセキュリティーを管理したり、 AppScan を使用する際に役立つ特定の機能を提供します。
Authentication Tester パワー・ツールは、「ブルート・フォース」技法を使用して、Web アプリケーションへのアクセス権を取得するために使用される可能性のあるユーザー名とパスワードの脆弱な組み合わせを見つけるテスト・ユーティリティーです。(ブルート・フォース攻撃は、認証資格情報の推測に使用される自動化された試行錯誤プロセスで、不正ユーザーを正当なユーザーとしてサーバーに認識させる原因になります。)
HCL AppScan Standard バージョン 10.7.0 のドキュメントへようこそ。
このセクションでは、ウィザードを使用したスキャンのセットアップを含む、基本的な製品の機能および手順について簡単に紹介します。
ご使用のアプリケーションと希望するテストの種類に最も当てはまる設定を選択して、スキャンを構成します。
マニュアル探査を使用すると、実行中にフィールドおよびフォームを入力しながらアプリケーションの特定の部分を探査することができます。この方法を使用することで、サイトの特定のエリアが確実にカバーされ、AppScan では、すべてのフォームへの正しい入力に必要な情報を得ることができます。
スキャンの開始方法、スキャン中に何が行われるか、探査ステージの手動による操作方法、スキャン結果のエクスポート方法について説明します。
データ・ビューには、スキャンの探査のステージ中にサイトの構造に関する情報が取り込まれます。
「問題」ビューでは、スキャンの結果にアクセスできます。結果を概略レベルで表示することも、特定のテストまたはオブジェクトを選択して詳細にアクセスすることもできます。これらの詳細には、修正方法、要求/応答、および問題が発生したテスト・バリアント間の差が含まれます。問題の重大度を操作したり、(修正ありまたは修正なしで) テストを再送したり、問題に基づいたレポートを作成したりできます。
このセクションでは、AppScan をカスタマイズするために、「オプション」ダイアログ・ボックス (「ツール」>「オプション」) から制御できるオプションについて説明します。
この拡張機能では、Open API 記述ファイルを使用してスキャンできます。この拡張機能は、「ツール」 > 「エクステンション」 > 「Web サービス・ウィザード (OpenAPI)」から利用でき、デフォルトで有効になっています。
この 接続テスト パワー・ツールを使用すると、多くのファイアウォールでブロックされてしまう Ping プロトコルを使用せずに Web サイトを ping することができます。
Encode/Decode PowerTool は指定されたストリングに、指定されたフォーマットのエンコードおよびデコードを行います。
正確な正規表現を記述することは面倒な試行錯誤のプロセスです。この Expression Test パワー・ツールを使用すると、プロセスを加速させることができます。
HTTP Request Editor パワー・ツールによって、十分に制御された HTTP 要求をサイトに送信できるため、さまざまな種類の HTTP 要求にサイトがどのように応答するかをテストできます。
ログは、トラブルシューティングに役立ちます。
すべてのビューで特定のデータについて「結果リスト」をフィルタリングすることができます。
このセクションでは、その他のアプリケーションと AppScan Standard との統合について説明します。
このセクションでは、上級ユーザー向けのベスト・プラクティスおよびユース・ケースについて説明します。
このセクションでは、コマンド行インターフェースを使って使用できる構文およびオプションを説明しています。
メニューおよびツールバーの概要および用語集
「フォーム認証」ラジオ・ボタンを選択した場合、以下の手順を実行します。