セッション ID

サイトが (Cookie またはパラメーターの形式の) 時間制限付きのセッション ID を使用する場合、サイトは有効期限が切れたトークンを含む要求を拒否します。そのため、サイトはテストに失敗します。

したがって ADAC は、時間制限付きのセッション ID である HTML パラメーターや Cookie を識別し、取り扱うことができる必要があります。ADAC はセッション ID に利用可能な最新の値を割り当て、アプリケーション・セッションの有効期限切れを防止します。

ADAC がセッション ID の値を自動的に更新するかどうか決定することができます。セッション ID の「状態」を設定します。

  • ログイン値: (推奨) このパラメーターを含むテスト要求を送信するときに、ADAC はセッション ID を、正常なログイン後にアプリケーションから受信した値で自動的に更新します。

    特定の値を設定しなければならない特定の必要がない限り、ほとんどのパラメーターおよび Cookie には、この状態が推奨されます。ただし、ログイン値セッション ID が使用されると、値がデータベース内にある間に有効期限が切れる可能性があります。
    注: ログインの記録のステップがマルチステップ操作の一部である場合は、受信パラメーターをログイン値として定義しても、その使用方法には影響しません。常にダイナミックとして扱われます。詳しくは、マルチステップ操作を参照してください。

    データベース内のある追跡対象セッション ID を更新するには、スキャンを実行する直前に、セッション ID が送信される URL にアクセスします。新規のセッション ID が、更新された値で送信されます。

  • ダイナミック:ADAC は、(例えば、シャドー Cookie と同様に) テスト前に Web アプリケーションで設定された新規の値に従って、テスト・ステージ中にセッション ID の値を自動的に更新します。

    「ダイナミック」 は、固有のセッション ID が特定の使用手順で更新されるように求めるセキュリティー手段を Web アプリケーションが実施することがわかっている場合にのみ選択してください。

  • 固定値: 固定値を保持します。Web アプリケーションのセキュリティーで、このセッション ID が常にこの値を持つ必要がある場合は、セッション ID に固定値を設定します。

注: マルチステップ操作のパラメーターは、ログイン値として定義されていても、常にダイナミックとして扱われます。

探査ステージ中に、ADAC は、セッション ID と思われる Cookie および HTML パラメーターを自動的に検出し、それをリストに追加します。セッション ID であることがわかっている Cookie およびパラメーターは、スキャンの構成時に手動で追加できます。