よくある質問
このトピックでは、一般的なアプリケーションについての質問を扱います。
目次
Web サービス、厳選テスト、および開発者必需テストのテスト・ポリシーが削除された場合に置き換えることができるテスト・ポリシー
Web API のスキャンに使用できるオプション
- Web アプリケーションの探査 (ユーザー・インターフェースのあるサイト)
- 多くのアプリケーションでは、AppScan がサイトをテストできるようにするために、開始 URL と認証の資格情報を提供するだけで十分です。
- マニュアル探査: 必要な場合は、特定のユーザー入力によってのみ到達可能な領域にアクセスできるようにするために、AppScan を介してサイトを手動で探査することができます。
- マルチステップ操作: 特定の順序でページにアクセスすることでのみ到達可能なページの場合、AppScan のマルチステップ操作を記録して使用することができます。
- Web API の探査
- AppScan には、Web API を探査するための主要な方法が 3 つあります。
-
Postman コレクションのインポート
DevOps プロセスの一環として、事前に記録済みの API 要求の Postman コレクションがある場合は、それをインポートしてスキャンの探査ステージとして使用できます。AppScan はコレクションを分析して使用し、サイトをテストします。参照 Postman コレクションを使用したスキャン
- OpenAPI 仕様ファイルの使用
- Web サービスの OpenAPI 仕様ファイル (JSON または YAML 形式) がある場合は、スキャンの基礎として使用できます。AppScan は、説明に基づいて自動スキャンを開始します。「OpenAPI 仕様ファイルを使用したスキャン」を参照してください。
- または、Web API ウィザード拡張を使用してスキャンを構成し、サービスの使用に必要なマルチステップ・シーケンスを構成することもできます。
- 記録プロキシーのセットアップ
- デバイス・セットアップ: サービスの探査に使用するデバイス (携帯電話やシミュレーターなど) の記録プロキシーとして AppScan を構成します。次に AppScan は収集した探査データを分析し、適切なテストを送信します。
- 外部ツールの記録: AppScan を使用して、Web API 機能テスターなどの外部ツールでトラフィックを記録することもできます。「外部クライアントの使用」を参照してください。
-
マニュアル探査とマルチステップ操作の差異
- マニュアル探査
マニュアル探査は、AppScan がサイトをテストするときに自動探査ステージが行われていない可能性があるアプリケーションまたはサービスの一部が確実にカバーされるようにするために、ユーザーがサイトを探査して AppScan が使用できるデータを収集する場合に行います。これは、特定のユーザー入力が必要である、またはサイトが別のタイプのツールやデバイスに対してのみ応答するなどの理由で行われます。マニュアル探査は、AppScan を使用するか、AppScan を記録プロキシーとして使用して、行うことができます。
参照 マニュアル探査
- マルチステップ操作
- ユーザーが品目をカートに追加し、まだ支払いを行っていないオンライン・ショップなど、リンクを特定の順序で クリックすることによってのみ到達できるサイトの部分を探査するには、マルチステップ操作が必要です。以下の 3 つのページについて考えます。
- ユーザーがショッピング・カートに 1 つ以上の品物を追加します
- ユーザーが支払いと配送方法の詳細を入力します
- ユーザーが、この注文が完了した確認を受け取ります
参照 マルチステップ操作
アクション・ベースの再生と要求ベースの再生の差異
- 要求ベースの再生
- 生の HTTP 要求を記録から送信します。一般的に早いのはこちらの方法です。
- アクション・ベースの再生
- ユーザーのクリックおよびキー・ストロークを再生します。この方法を選択するのは、サイトに大量の JavaScript が含まれている場合や、要求ベースの再生に含まれている要求を検証した際に、その一部に赤色の X でマークが付けられた場合などです。この方法では、スキャン時間が長くなる可能性があります。
Web サービス、厳選テスト、および開発者必需テストのテスト・ポリシーが削除された場合に置き換えることができるテスト・ポリシー
現在のポリシー |
提案されている代替手段 |
---|---|
Web サービス |
デフォルト 「デフォルト」テスト・ポリシーは Web サービスをカバーするようになっているため、別のポリシーは必要ありません。 |
厳選テスト |
デフォルト 「デフォルト」ポリシーは、最も高速の「テストの最適化」設定とともに使用します。 |
開発者必需テスト |
アプリケーションのみ 「アプリケーションのみ」ポリシーは、より高速の「テストの最適化」設定のいずれかとともに使用します。 |
スキャン・ファイルのサイズを減らす方法
compact_scan
コマンドを使用できます。コマンド・プロンプトで次のように入力します。AppScanCmd.exe compact_scan /b <full path to base scan file> /d <full path to destination file>
一部の問題に情報が欠落していますか?
特定の問題に関する情報が「問題」ペインに見つからないと思われる場合は、「編集」> 「問題情報の生成」をクリックして更新してみてください。
ログイン・ポップアップが多すぎる
ログイン方法として「プロンプト」を選択した場合、スキャン中に管理するログイン・プロンプトが多すぎる可能性があります。
この問題を解決するには、「構成」>「テスト・オプション」ビューに移動し、「ログアウト・ページでテストを送信」チェック・ボックスをクリアします。
GraphQL Web API のスキャンに使用できるオプション
- API 必需プリセットを使用します (「構成プリセット」を参照)。
- GraphQL テンプレートを (事前定義されたテンプレート・フォルダーから) ロードし、独自の Postman コレクションをインポートします。
- GraphQL テンプレートを (事前定義されたテンプレート・フォルダーから) ロードし、独自のトラフィック・ファイルをインポートします。
AppScan Standard DAST によるテストの対象となるセキュリティー問題
AppScan Standard DAST は、「AppScan Standard DAST によるテストの対象となるセキュリティー問題」に記載されているさまざまなセキュリティー問題をテストします。