よくある質問

このトピックでは、一般的なアプリケーションについての質問を扱います。

目次

Web API のスキャンに使用できるオプション

マニュアル探査とマルチステップ操作の差異

アクション・ベースの再生と要求ベースの再生の差異

Web サービス、厳選テスト、および開発者必需テストのテスト・ポリシーが削除された場合に置き換えることができるテスト・ポリシー

スキャン・ファイルのサイズを減らす方法

一部の問題に情報が欠落していますか?

GraphQL Web API のスキャンに使用できるオプション

AppScan Standard によるテストの対象となるセキュリティー問題

Web API のスキャンに使用できるオプション

サイトのスキャンは、最初に探査が行われ、次に収集されたデータに基づくテストが行われて実施されます。「探査データ」は、1 つ以上の探査方法を使用して収集することができます。どのケースでも、探査データが収集されると、AppScan を使用してテストが作成され、テスト・ステージ中にサイトに送信されます。
Web アプリケーションの探査 (ユーザー・インターフェースのあるサイト)
  • 多くのアプリケーションでは、AppScan がサイトをテストできるようにするために、開始 URL と認証の資格情報を提供するだけで十分です。
  • マニュアル探査: 必要な場合は、特定のユーザー入力によってのみ到達可能な領域にアクセスできるようにするために、AppScan を介してサイトを手動で探査することができます。
  • マルチステップ操作: 特定の順序でページにアクセスすることでのみ到達可能なページの場合、AppScan のマルチステップ操作を記録して使用することができます。
構成ウィザードではいくつかの手順でスキャンを構成して開始できますが、複雑なサイトの場合は、「構成」ダイアログ・ボックスでさらに多くの設定を微調整およびカスタマイズできます。
Web API の探査
AppScan には、Web API を探査するための主要な方法が 3 つあります。
  1. Postman コレクションのインポート

    DevOps プロセスの一環として、事前に記録済みの API 要求の Postman コレクションがある場合は、それをインポートしてスキャンの探査ステージとして使用できます。AppScan はコレクションを分析して使用し、サイトをテストします。参照 Postman コレクションを使用したスキャン

  2. OpenAPI 仕様ファイルの使用
    • Web サービスの OpenAPI 仕様ファイル (JSON または YAML 形式) がある場合は、スキャンの基礎として使用できます。AppScan は、説明に基づいて自動スキャンを開始します。「OpenAPI 仕様ファイルを使用したスキャン」を参照してください。
    • または、Web API ウィザード拡張を使用してスキャンを構成し、サービスの使用に必要なマルチステップ・シーケンスを構成することもできます。
  3. 記録プロキシーのセットアップ
    1. デバイス・セットアップ: サービスの探査に使用するデバイス (携帯電話やシミュレーターなど) の記録プロキシーとして AppScan を構成します。次に AppScan は収集した探査データを分析し、適切なテストを送信します。
    2. 外部ツールの記録: AppScan を使用して、Web API 機能テスターなどの外部ツールでトラフィックを記録することもできます。「外部クライアントの使用」を参照してください。
上記の方法に加えて、マニュアル探査または探査データのインポートも選択できます。いずれの場合も、AppScan に探査データを指定すると、自動的にサイトをテストし、スキャン結果を提示してレビューおよびトリアージできます。

マニュアル探査とマルチステップ操作の差異

マニュアル探査

マニュアル探査は、AppScan がサイトをテストするときに自動探査ステージが行われていない可能性があるアプリケーションまたはサービスの一部が確実にカバーされるようにするために、ユーザーがサイトを探査して AppScan が使用できるデータを収集する場合に行います。これは、特定のユーザー入力が必要である、またはサイトが別のタイプのツールやデバイスに対してのみ応答するなどの理由で行われます。マニュアル探査は、AppScan を使用するか、AppScan を記録プロキシーとして使用して、行うことができます。

参照 マニュアル探査

マルチステップ操作
ユーザーが品目をカートに追加し、まだ支払いを行っていないオンライン・ショップなど、リンクを特定の順序で クリックすることによってのみ到達できるサイトの部分を探査するには、マルチステップ操作が必要です。以下の 3 つのページについて考えます。
  1. ユーザーがショッピング・カートに 1 つ以上の品物を追加します
  2. ユーザーが支払いと配送方法の詳細を入力します
  3. ユーザーが、この注文が完了した確認を受け取ります
ページ 2 へは、ページ 1 を経由したときにのみ到達できます。ページ 3 へは、ページ 1 に続いてページ 2 を経由したときにのみ到達できます。これがシーケンスです。ページ 2 とページ 3 をテストできるようにするには、AppScan® が各テストの前に HTTP 要求の正しいシーケンスを送信する必要があります。

参照 マルチステップ操作

アクション・ベースの再生と要求ベースの再生の差異

ログイン操作やマルチステップ操作で使用するために手順を記録する場合、以下の 2 つの再生方法が使用可能です。
要求ベースの再生
生の HTTP 要求を記録から送信します。一般的に早いのはこちらの方法です。
アクション・ベースの再生
ユーザーのクリックおよびキー・ストロークを再生します。この方法を選択するのは、サイトに大量の JavaScript が含まれている場合や、要求ベースの再生に含まれている要求を検証した際に、その一部に赤色の X でマークが付けられた場合などです。この方法では、スキャン時間が長くなる可能性があります。

「構成」 > 「探査」 > 「」、および「構成」 > 「」を参照してください。ログイン再生 マルチステップ操作

Web サービス、厳選テスト、および開発者必需テストのテスト・ポリシーが削除された場合に置き換えることができるテスト・ポリシー

バージョン 10.0.5 では、今後のリリースで 3 つのテスト・ポリシーを削除する予定があることが発表されました。以下の方法でも、同様の結果が得られます。これらのポリシーを使用する場合は、提案されている代替手段を使用することが勧められています。

現在のポリシー

提案されている代替手段

Web サービス

デフォルト

「デフォルト」テスト・ポリシーは Web サービスをカバーするようになっているため、別のポリシーは必要ありません。

厳選テスト

デフォルト

「デフォルト」ポリシーは、最も高速の「テストの最適化」設定とともに使用します。

開発者必需テスト

アプリケーションのみ

「アプリケーションのみ」ポリシーは、より高速の「テストの最適化」設定のいずれかとともに使用します。

スキャン・ファイルのサイズを減らす方法

スキャン・ファイルが大きく、何らかの理由でファイル・サイズを削減する必要がある場合は、SCAN ファイル内のデータベースのサイズを削減する compact_scan コマンドを使用できます。コマンド・プロンプトで次のように入力します。
AppScanCmd.exe compact_scan /b <full path to base scan file> /d <full path to destination file>

一部の問題に情報が欠落していますか?

特定の問題に関する情報が「問題」ペインに見つからないと思われる場合は、「編集」> 「問題情報の生成」をクリックして更新してみてください。

ログイン・ポップアップが多すぎる

ログイン方法として「プロンプト」を選択した場合、スキャン中に管理するログイン・プロンプトが多すぎる可能性があります。

この問題を解決するには、「構成」>「テスト・オプション」ビューに移動し、「ログアウト・ページでテストを送信」チェック・ボックスをクリアします。

GraphQL Web API のスキャンに使用できるオプション

AppScan Standard DAST によるテストの対象となるセキュリティー問題

AppScan Standard DAST は、「AppScan Standard DAST によるテストの対象となるセキュリティー問題」に記載されているさまざまなセキュリティー問題をテストします。