FAQ
よくある質問について説明します。
全般
スキャンが失敗した理由は何ですか?
スキャンが失敗したり、レビュー中になったりした場合、考えられる理由は次のとおりです。
- アプリケーション・ファイルが無効
- 選択したテスト・セットがサイト/アプリケーションに適していません
- AppScan Central Platform が正しく機能していないか、まったく機能していない
これらの問題を回避できれば、スキャンは自動的かつ高速に完了する可能性が高くなります。これは特に AppScan 360° スキャンを自動プロセスに組み込んでいる場合に重要であり、そうなればスキャン時間が可能な限り短くなります。
スキャンの完了にはどれぐらいの時間がかかりますか?
アプリケーションのサイズと複雑さによりますが、数分からもっと長い時間がかかります。スキャン完了時に E メールを受け取るように指定できます。AppScan 360° によるテストの対象となるセキュリティー問題
- AppDOS
- ブラウザーによる機密情報のキャッシング
- コメントによる機密情報の漏えい
- 構成の問題
- クロスサイト・スクリプティング (XSS)
- DB 接続ストリングの操作
- E メール・フィッシング
- E メールの改ざん
- エンコーディングの必要性
- 無防備な Web サービス
- ファイルの改ざん
- ファイルのアップロード
- HTTP リクエスト分割
- HTTP レスポンス分割
- LDAP インジェクション
- オープン・リダイレクト
- OS コマンド注入
- パス・トラバーサルの潜在的なビジネス・ロジックの問題 (非セキュアなダイレクト・オブジェクト参照もカバー)
- 特権エスカレーション
- RegEx 注入
- テスト・コードの削除
- SecondOrder 注入
- Sensitive Data Exposure (機密データの露出)
- ログに保管された機密データ
- エラー・メッセージに表示された機密情報
- 大きすぎるセッション管理タイムアウト値
- SQL 注入
- 暗号化されていない通信
- URL の改ざん
- 暗号として安全でない乱数発生ルーチンの使用
- 隠しフィールドの使用
- 非セキュアな暗号化アルゴリズムの使用
- 安全でないネイティブ・コードの使用
- 脆弱なアクセス制御
- 脆弱な認証
- XML 注入
- XPath 注入
- XSLT 注入
アプリケーションのリスク等級が「不明」となっているのはなぜですか?
アプリケーションのリスク等級は、以下の 2 つの要因に基づいて計算されます。
- (AppScan 360° によって) 検出された問題
- (ユーザーによって割り当てられた) ビジネスへの影響
SAST
静的分析 IRX ファイルとは何ですか? その内容は?
IRX は、暗号化されたセキュアな zip アーカイブで、ご使用のプログラムのすべての静的分析を実行するために必要な情報が含まれています。このファイルは、クラウドへの転送時 (SSL 経由) だけでなく、作成時に保管するときも暗号化されます。
内部的に、IRX アーカイブには以下のファイルおよび成果物が含まれます。
- お客様のデプロイ済みソース・コード (例えば、Java バイトコードや .Net MSIL) から作成されたデプロイ可能なプログラム成果物の、独占所有物である難読化された表記。静的分析スキャンでサポートされている言語について詳しくは、静的分析のシステム要件を参照してください。
- セキュリティーの脆弱性について分析対象となり得る、ご使用のプログラムと一緒に配置されたランタイム・スクリプト・ファイル (例えば、.js (Javascript) または .rb (Ruby) ファイル)。
- アプリケーションまたはプロジェクト階層、およびご使用のプログラムの関係または従属関係について記述した Static Analyzer 構成ファイル。これにより、ご使用のアプリケーション内のプロジェクト境界を越えて、正確かつ完全なセキュリティー分析を行うことが可能になります。
- アーカイブ (診断およびサポート用) の作成時に生成される Static Analyzer ログ・ファイル。