動的スキャン (DAST)
ASoC は、ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。ASoC で利用可能な構成オプションを使用するか、AppScan Standard の構成 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。
DAST スキャン・ウィザードには、以下の 3 つのパスがあります。
| オプション | 説明 |
|---|---|
| 新規スキャンの作成 | ASoC ウィザード・オプションを使用してスキャンを構成し、実行します。
|
| テンプレート・ファイルのアップロード | AppScan Standard テンプレート (SCANT) ファイルがある場合は、そのファイルを ASoC スキャンの構成として使用できます。これにより、AppScan Standard で使用可能なすべての構成オプションを利用できます。AppScan Standard テンプレートには、ログイン記録とマルチステップ構成も含まれます。 テンプレートにはマニュアル探査は含まれていませんが、トラフィック記録 (DAST.CONFIG ファイル) をアップロードして、アプリケーションの特定の部分が確実にカバーされるようにすることができます。 |
| スキャン・ファイルのアップロード | AppScan Standard スキャン (SCAN) ファイルがある場合は、そのファイルを ASoC スキャンの構成として使用できます。 マニュアル探査、マルチステップ操作、および SCAN ファイルに保存された Postman コレクションなどの Web API ファイルがスキャンに組み込まれます。 フル・スキャンを実行することも、ファイルから既存の探査日付を使用して、スキャンのテスト・ステージのみを実行することもできます。 |
Web API のスキャン
Web API をスキャンする場合は、以下の点に注意してください。
- 自動探査は Web API では機能しないため、トラフィック記録を指定する必要があります。詳細については、 トラフィックの記録
- Postman コレクションがある場合は、それを AppScan Standard にインポートし、SCAN ファイルとして保存してから、スキャン・ファイルからの新規スキャンの作成できます。
関連トピック
- トラフィックの記録
- AppScan Standard スキャンまたはテンプレートの使用
- クライアント証明書を使用するサイトのスキャン
- インターネットからは使用できない Web アプリの AppScan プレゼンスの作成