クライアント証明書を使用するサイトのスキャン

ASoC では、ユーザー・インターフェースまたは API からクライアント証明書を構成する方法は現在提供されていませんが、AppScan Standard 10.0.8 以降を利用すれば、これを行うことができます。

ただし、制限があります。スキャン・テンプレート (SCANT ファイル) を AppScan Standard に保存しても、証明書はテンプレートに保存されません。クライアント証明書を使用するサイトをスキャンするには、次の手順を参照してください。

AppScan Connect を使用してスキャンを実行するには、次の手順を実行します。
  1. AppScan Standard 10.0.8 以降で、クライアント証明書を含むスキャンを構成します。
  2. AppScan Standard で、AppScan Connect 機能を使用して構成を ASoC にアップロードし、スキャンを実行します。
    注: 証明書は、AppScan Connect を使用した場合にのみスキャン・テンプレートに保存されます。ただし、SCANT ファイルとして直接保存する場合は除きます
API を使用してスキャンを実行するには、次の手順を実行します。
  1. AppScan Standard で、AppScan Connect を使用して SCANT ファイルを ASoC からダウンロードします (上記)。
  2. AppScan Standard でスキャンを開き、SCANT ファイルとして保存します。

    ファイルにはクライアント証明書が含まれています。

  3. ASoC FileUpload API を使用して SCANT ファイルをアップロードし、ファイル ID を取得します。
  4. この ID を使用し、DynamicAnalyzerWithFile API を使用して DAST スキャンを作成します。

プライベート・サイトのクライアント証明書

スキャンが開始される前に、AppScan Presence は、スキャンの開始 URL にアクセスできることを検証します。アクセスできない場合、スキャンは直ちに失敗します。

プライベート・サイトにクライアント証明書が必要な場合、Presence はクライアント証明書を持っていないため、テスト・サイトに接続できません。これを解決する方法は、プレゼンスがスキャン対象の Web アプリケーションに到達できない場合でも、プレゼンスにスキャンの実行を指示することです。

「開始 URL」チェックをオーバーライドするには、以下のようにします。
  1. プレゼンスのルート・フォルダーで、appsettings.json を探してテキスト・エディターで開きます。
  2. 設定: "StartingUrlTestNotFailing": true,