エラー・ページ
AppScan® が応答内容、パス (またはその両方) 内でエラー・ページを認識できるようにするストリングまたは正規表現を追加することで、アプリケーションのエラー・ページの識別機能を強化します。これにより、AppScan がエラー・ページを効果的に認識して処理できるようになり、セキュリティ・スキャンの全体的な精度が向上します。
AppScan® がテストに応答して 404 エラー・ページが表示されると、テストは通常、失敗とマークされます。これは、404 応答が、サイトが要求を不正として適切に識別したことを示しているためです。ただし、逆の場合が当てはまるときもあるため、エラー・ページは成功した結果を示します。いずれのシナリオでも、AppScan がエラー・ページを適切に認識できるように、エラー・ページを正確に定義することが重要です。
Web アプリケーションとサーバーでは、カスタマイズされた、または動的に生成された 404 エラー・ページをしばしば使用するため、自動的に 404 エラーであると認識することが難しくなる場合があります。AppScan はカスタマイズされた 404 エラー・ページを識別しようとしますが、失敗する場合があります。AppScan でエラー・ページが表示され、そのページを認識できない場合、負の値の結果でも正として誤って登録する場合があります (またはその逆の場合もあります)。デフォルトでは、「エラー・ページ」リストには標準のエラー・ページ定義が含まれており、各定義に場所と値が表示されます。
ご使用のアプリケーションのエラー・ページがこのリストの定義に含まれていない場合、応答内容、またはパス (またはその両方) 内で AppScan® がエラー・ページを認識できるように、必要なストリング、または正規表現を追加する必要があります。これを実行することにより、スキャン結果中の「誤検出」数を減らすことができます。そのための方法として、以下の 2 つがあります。
- スキャンを開始する前に、エラー・ページを手動で定義できます。参照 エラー・ページの追加
- 探査ステージを完了した場合、検出された URL をエラー・ページとして設定できます。参照 エラー・ページの設定
重要: エラー・ページの定義が正しくないと、「誤検出」と「検出漏」の両方の結果が発生する可能性があります。このため、スキャンのテスト・ステージの後にエラー・ページを追加または削除する場合は、スキャン結果を更新する必要があります。
- 以前の定義で成功を示したテストに対しては、「現在の結果に適用する」をクリックすると、結果が更新されます。
- 以前の定義で失敗を示したテストに対しては、再テストを実行する必要があります。
以下も参照してください。