「メイン」タブ

「スキャン構成」 > 「探査オプション」 > 「メイン」タブ。

このタブでは、AppScan がスキャンに使用する探査方法を選択し、両方の方法に適用されるオプションを構成します。
探査方法
ADAC は、2 つの異なる方法をスキャンの探査ステージに使用します。一方または両方を選択できます。2 つの方法の内、要求ベースの探査は一般にアクション・ベースの探査より高速で処理されます。両方とも選択した場合 (デフォルト設定であり、推奨されています)、アクション・ベース探査がまず 30 分の時間制限で実行され、その後に要求ベースの探査が実行されます。
ページ構造 (DOM) フィルタリング
これらを使用すると、すでにスキャンしたページと非常に類似し、無視しても問題がないページを特定することにより、スキャン時間を大幅に減らすことができます。
スキャン制限
これらの制限により、ADAC がご使用のアプリケーションを探査する深度 (または速度) が決まります。
その他の設定
これらの設定により、クライアントが特定のサーバー・エンコードを認識し、特定のユーザー・エージェント・ヘッダーを送信するように構成します。

設定

詳細

探査方法

アクション・ベース

任意のバージョンの Google Chrome ブラウザーを使用して、ユーザーが行うように、ブラウザーに表示されるリンクをクリックしてサイトをスキャンします。この方法は、JavaScript や Session Storage などの新しいテクノロジーが使用されている場合、そして、RIA、Single-page Application (SPA)、または AngularJS のサイトに対して特に効果的です。

要求ベース

要求は、AppScan が検出する、すべてのページ・コンテンツに基づいて送信されます。これには、コメント内のリンクなど、ブラウザーを使用するユーザーには表示されずに、アタッカーが見つける可能性があるコンテンツが含まれます。

ページ構造 (DOM) フィルタリング

構造 (DOM) を基準にして類似ページをフィルターに掛ける

AppScan® は、構造 (DOM) 類似性に関して、新規ページと既にスキャンしたページを比較します。類似性は、追加のテストが必要な新規リンクやコンテンツが新規ページに含まれていないことを示します。例えば、商用サイトでは、千単位の異なる製品が別々のページ上にあるものの、他のあらゆる点は同一のカタログがあるとします。この場合、通常はすべてのページをスキャンする必要がありません。DOM の類似性に基づいてフィルタリングを行うことで、スキャン時間を大幅に 短縮できます。

デフォルトでは、両方のチェック・ボックスが選択されています。スキャン後、スキャン結果の「フィルター済み」タブを調べて、固有の要求がフィルター処理により誤ってスキャンから除外されていないかを確認する必要があります。その場合は、一定した低レベルのフィルター処理を行う「フィルターに掛けるページを減らす」オプションを試行するか、DOM フィルター処理を完全に無効にする必要があります。

結果の「フィルター済み」タブには、以下の 3 種類のフィルター済み項目が表示されます。
  • 類似の DOM: これは、ページの構造 (DOM) が以前に探査したページの構造と類似しており、テストする新規要素が含まれていない可能性が高いために、スキャンからフィルターで除外されたページを示します。
  • 類似の可能性が高い DOM: これは、以前に探査したページと同じ構造 (DOM) が応答に含まれると AppScan が判断し、テストする新規要素が含まれていないために、送信されなかった要求を示します。
  • 類似した本文: これは、応答本体のコンテンツが以前に探査された要求の応答本体のコンテンツと類似しているためにフィルタリングによってスキャンから除外された、(類似の DOM によってフィルタリングされなかったページからの) 要求を示します。
スキャン後、スキャン結果の「フィルター済み」タブを調べて、固有の要求がフィルター処理により誤ってスキャンから除外されていないかを確認する必要があります。その場合は、「重複の可能性が高いページをフィルター」オプション (次のオプション) をクリアするか、このチェック・ボックスをクリアして DOM フィルター処理を完全に無効にする必要があります。

構造 (DOM) を基準として類似の可用性が高いページをフィルター

この設定は、フィルター処理により、「類似の可能性が高い DOM」ページをスキャンから除外します (上記の説明を参照)。誤って固有の要求がフィルター処理によりスキャンから除外された場合は、このチェック・ボックスをクリアしてください。

スキャン制限

冗長なパスの制限

AppScan は、同じパスに対して、指定された回数を超えるアクセスは行いません。

特定のパスは、これが別のパラメーターを指定して 出現すると、数回にわたってアクセスされる可能性があります。この制限は、主にスクリプトに関連して行われます。これはデフォルトでは選択解除されています。ほとんどの場合、上記のチェック・ボックス「構造 (DOM) を基準に重複したページをフィルター」を選択すると、スキャン時間が十分に制御されるためです。

クリックの深さの制限

AppScan は、指定された数を超えるリンクをクリックしてアクセスされたページをスキャンしません。

合計ページ制限 (Total Page Limit)

これを選択すると、AppScan は、定義されているページの最大数を超えるアクセスは行いません。ページごとに多数の URL が探査される場合があることに注意してください。

その他の設定

エンコード

一般に、AppScan は、アプリケーションのエンコード方式を自動的に検出するため、自動検出がデフォルトで選択されています。

スキャン結果の応答の内容がゆがめられているように見える場合は、エンコード方式が正しく識別されていなかったことが考えられます。この問題を解決するために、ドロップダウン・リストから正しいエンコード方式を選択してください。

ユーザー・エージェント

HTTP 要求内のユーザー・エージェント・ヘッダーは、要求を送信したクライアントの種類をサーバーに提示します。これは、サーバーが返すコンテンツに影響することがあります。例えば、ユーザー・エージェントが携帯電話ブラウザーである場合にのみ、携帯電話に固有のコンテンツを送信することができます。AppScan がこのようなコンテンツをテストできるようにするには、適切なユーザー・エージェント・ヘッダーを送信するように構成する必要があります。

一般に、AppScan は、ユーザー・エージェントを自動的に検出するため、「自動検出」がデフォルトで選択されています。しかし、組み込みブラウザー以外のブラウザーを使用して、ログイン手順、マルチステップ操作、またはマニュアル探査を記録しない場合、AppScan はユーザー・エージェントを自動検出できないため、手動で選択する必要があります。

ユーザー・エージェントを変更するには、ドロップダウン・リストからエージェントを選択します。

カスタム・コンテンツを入力するには、「編集」ボタンをクリックし、コンテンツを入力します。ダイアログ・ボックスを閉じると、ボタン名が「カスタム・ユーザー・エージェント」に変更されます。

詳しくは、ユーザー・エージェント・ヘッダーを参照してください。