パラメーター・ベースの移動を使用するサイトでの課題
ナビゲーションがパラメーター・ベースであるサイトをスキャンするために必要な構成変更について説明します。
デフォルトで、AppScan の冗長なパスの制限は 5 です (要求を同じ URL に送信できる最大回数。「探査オプション」ビューを参照)。通常のサイトでは、これにより不必要なテストが繰り返し行われることがなくなります。ただし、サイトのナビゲーションがパラメーター・ベースの場合、この低い制限では、AppScan® はサイトを十分にスキャンすることができず、「標準的なスキャン」テンプレートを使用して実行されるスキャンは、ほとんどのどのサイトもディスカバーしてテストすることができません。
- 探査ステージ中の要求のハッシュ時に、AppScan® は、要求内で検出したすべてのパラメーターおよび Cookie を組み込みます。冗長なパスの制限を無効にすると、これらの値のすべての組み合わせが考慮されてしまいます。
例えば、サイトのセクションの各ページに、販売可能な商品についての情報をデータベースから取得するスクリプトへの何百ものリンクが含まれているとします。これらのリンクには、
item_id
というパラメーターが含まれていますが、これは新しいページを生成する際に重要でなく、項目に関する情報を取り出すためにのみ使用されます。その結果、AppScan® は、item_id
をハッシュから除外できる場合を除き、この項目情報ページの数千ものインスタンスを要求します。 - テスト・ステージでは、この問題はより深刻になります。例えば、要求に
par1
とpar2
の 2 つのパラメーターがあり、AppScan® がこれらのパラメーターを含む以下の 4 つのリンクを検出するとします。http: // site.com/content.aspx?par1=a&par2=c http: // site.com/content.aspx?par1=a&par2=d http: // site.com/content.aspx?par1=b&par2=c http: // site.com/content.aspx?par1=b&par2=d
各パラメーターに 400 のテストを適用可能な場合、AppScan® は合計で 1,600 のテストを送信します (
par2=c
とpar2=d
のときpar1
で 800、par1=a
とpar1=b
のときpar2
で 800)。したがって、これらのパラメーターを探査ハッシュから除外することに加えて、各パラメーターを 1 回のみテストするように AppScan® に通知する必要があります(par1
で 400 回のテスト、par2
で 400 回のテスト)。
- 探査ステージ: ナビゲーション・パラメーター以外は、すべてのパラメーターの値を無視する。
- テスト・ステージ: パラメーターの値が変更されても、新しいテストを作成しない (ナビゲーション・パラメーターは除く)。
以下も参照してください。