新規スキャンの作成 (フル構成)
スキャンの開始 URL とユーザー資格情報を入力し、サイトのタイプを選択します。また、サイトをスキャンする許可があるかどうかをまだ確認していない場合は、それを確認します。
始める前に
- スキャンする前にサイトをバックアップしてください。
- スキャン用のアプリケーションを作成します (まだ作成していない場合)。
- ASoC でドメインをスキャンする許可を確認します (「ドメインの検証」を参照)。
- サイトがインターネットで使用不可であり、AppScan Presence がまだサーバーに存在していない場合: AppScan Presence の作成.
- 実稼働中のサイトをスキャンする場合は、最初に次を参照してください。 ライブ実動サイトをスキャンするときに、どのような変更を行う必要がありますか?
手順
-
特定の「アプリケーション」ページで「スキャンの作成」をクリックし、「動的 (DAST)」を選択してウィザードを開きます。
次のステップで、スキャンの開始 URL を入力する必要があります。その他の設定 (以下のステップ 2 から 5) は、変更するか、デフォルト値のままにすることができます。設定が完了したら、「レビューおよびスキャン 」をクリックします (下のステップ 6)。
-
URL およびドメイン
設定
オプション(O)
URL
- URL フィールド
- スキャンを開始する URL を入力します。Web API の場合は、「開始」URL がないため、スキャンするサービスのドメインに有効な URL を入力します。
- デモ・サイトのスキャン
- このリンクをクリックして、AppScan デモ・サイトの URL を入力します。これにより、ドメインを検証することなくスキャンを実行できます。「ログイン」タブで、「ユーザー名」に「
JSmith
」、「パスワード」に「Demo1234
」を入力します注: デモ・サイトのスキャンを実行しても、提供されている完全な URL を使用している限り、ライセンス制限にはカウントされません。?mode=demo
スイッチを削除すると、スキャンは制限値にカウントされます。 - このディレクトリー配下のリンクだけを含める
- このチェック・ボックスを選択すると、スキャン時にリンクとして検出される可能性のある外部ドメイン、パラレル・ドメイン、またはサブドメインが除外されます。このチェック・ボックスをクリアすると、スキャンに開始 URL のドメイン以外のドメインを組み込むことができますが、そうしたドメインは検証する必要があります。詳細については、ドメインの検証の例を参照してください
URL およびドメイン
スキャンに組み込まれるドメインをすべてリストします。入力した開始 URL が自動的にここに追加されます。ネットワークがプライベートであり、プレゼンスを使用している場合を除き、すべてのドメインを検証する必要があります。
サイトに開始 URL のドメイン以外のドメインが組み込まれており、そうしたドメインをスキャンする場合は、「別のドメインを追加」をクリックして該当するドメインを追加します。
各ドメインの横にある緑色のチェック・マークは、検証済みであることを示しています。まだ検証されていないドメインの場合は、「組織」>「ドメイン」>「新規ドメインの検証」に移動します。注: ステージング環境または実稼働環境を選択するオプションは不要になったため、最近削除されました。詳しくは、「ステージング環境または実稼働環境を指定できなくなったのはなぜですか?」を参照してください。 -
ネットワーク
設定
オプション(O)
タイプ
- パブリック (デフォルト)
- サイトがインターネット上で使用可能です。
- プライベート
- サイトがインターネット上で使用不可です。接続されているプレゼンスのリストからプレゼンスを選択します。
-
ログイン
設定
オプション(O)
ログイン
- ログインは不要です (デフォルト)
- 次の場合、この設定は選択されたままにします。
- ログイン/許可が不要な場合、または
- (Web API) 許可で固定値または長期値 (API キーや固定ベアラー・トークンなど) が使用される場合。
- ログインが必要です: ユーザー名およびパスワード
- ASoC が必要に応じて資格情報を使用して特別な手順なしでログインできる場合に選択します。3 つ目の資格情報を入力することもできます (オプション)。次に例を示します。
PIN# = 1234
。ただし、3 つ目の資格情報を使用するには、ASoC サポート・チームによる介入が必要であり、スキャンに時間がかかる場合があります。注: CAPTCHA はサポートされていません。ヒント: ASoC では、実際のユーザーの資格情報ではなく、テスト用の資格情報の使用をお勧めします。このオプションは Web API には関係ありません。 - ログインが必要です: 記録されたログイン
- 特別なログイン手順が必要な場合は、このオプションを選択して、スキャン中にアプリケーションにログインするたびに ASoC が使用する必要がある手順の記録をアップロードします。AppScan Activity Recorder (
CONFIG
ファイルとして保存) または AppScan Standard (LOGIN
ファイルとしてエクスポート) を使用して記録できます。重要: 記録されたログイン手順には、以下の要求が含まれている必要があります。- ログイン/許可要求
- 追加のログイン/許可要求。この「追加の」要求によって、AppScan が許可の成功を見極め、アプリケーションのテスト時にセッションを維持できます。
CONFIG
ファイルまたはLOGIN
ファイルの記録について詳しくは、「トラフィックの記録」および「AppScan Standard によるログインの記録」を参照してください。
HTTP 認証
ログイン情報のほかに、アプリケーションが HTTP 認証 (Negotiate、NTLM、Kerberos、ADFS、Basic、または Digest) を必要とするかどうかを指定します。ASoC をスキャン中に使用するために、「ユーザー名」、「パスワード」、および「ドメイン」(オプション) に入力します。
-
ワンタイム・パスワード
設定
オプション(O)
TOTP を使用する
サイトでユーザーのログインに時間ベースのワンタイム・パスワードを要求する場合は (MFA)、このチェック・ボックスを選択し、ダイアログの最初の 4 つのフィールドに入力します。これにより、AppScan がログインできるようになります。- 秘密鍵
- OTP の長さ (桁数)
- 使用するハッシュ・アルゴリズム (ドロップダウンから選択)
- 時間ステップ (秒)
注: TOTP は、このウィザードでサポートされる唯一の OTP です。その他の OTP オプションについては、AppScan Standard でスキャンを構成し、ASoC にアップロードできます。OTP を使用して AppScan Standard でスキャンを構成する場合は、要求ベースのログインではなく、アクション・ベースのログインを使用する必要があります。詳細については、AppScan Standard の資料を参照してください。「OTP HTTP パラメーター」(オプション) 前のステップで「ログインが必要: 記録されたログイン」を使用した場合、この最後のフィールドは通常必要ありません。AppScan は、スキャン開始時に、記録されたログイン手順を検証する際、通常は OTP ヘッダー自体を識別するためです。
「ログインが必要: ユーザー名とパスワード」を使用した場合は、パラメーターをここに追加する必要があります。複数のパラメーターがある場合は、コンマで区切ります。
考えられる OTP ヘッダーの例:
OTPvalue
-
探査
設定
オプション(O)
自動フォーム入力
ASoC AppScan Standard のデフォルトのフォーム入力パラメーター値を使用して、サイトでフォームの入力および送信を行います。重要: 実稼働中のサイトをスキャンする場合は、この機能を無効にすることをお勧めします。詳細については、次を参照してください。 ライブ実動サイトをスキャンするときに、どのような変更を行う必要がありますか?注: 自動フォーム入力をオフにして、AppScan on Cloud でスキャンすると、ログイン管理データを除く、フォームに入力されたすべての情報が削除されます。AppScan はスキャン中、自動的にフォームに入力しません。このスキャンを AppScan Standard にインポートすると、自動フォーム入力が有効になりますが、ログイン管理を除くフォーム入力データは空になります。タイプ
- 自動的に探査する
- AppScan は、開始 URL から自動的に Web アプリケーションをクロールして、テストするページを検出します。このオプションは Web API には関係ありません。次のオプションを使用してください。
- ガイダンスを使用し探査する
- AppScan でテストするために、記録された独自の探査ステージをアップロードします。これは、単独で使用することも、自動探査ステージに追加して使用することもできます。
ガイダンスを使用し探査する
このセクションは、「ガイダンスを使用した探査」を選択した場合にのみアクティブになります。 記録をアップロードする
1 つ以上の
DAST.CONFIG
トラフィック・ファイルをアップロードします。記録方法の詳細については、「トラフィックの記録」を参照してください。Web API の場合、最良のオプションは通常は HCL AppScan Traffic Recorder です。ファイル設定
トラフィック・ファイル内の要求を、記録した特定の順序で送信する必要がある場合は、マルチステップ操作をアクティブ化します。この方法では、スキャンの所要時間が大幅に長くなるため、必要な場合にのみ使用してください。マルチステップ操作と通常のガイダンスを使用した探査の違いについては、「ガイダンスを使用し探査する」を参照してください。
マルチステップ操作をアクティブ化するには、次の手順を実行します。- アップロードされた記録ごとに、ファイル名をクリックし、「マルチステップのアクティブ化」オプションを「オン」に切り替えます。
記録の使用方法 - 全自動の探査ステージに加えて、記録された探査を使用し、すべてをテストする
- ASoC で、独自の自動探査ステージが実行され、アプリケーションが検出されて、検出結果およびアップロードしたトラフィック・ファイルの両方に基づいてテストされます。このオプションは Web API には関係ありません。次のオプションを使用してください。
- 記録された探査のみを分析しテストする
- ASoC では、アップロードしたファイルがスキャンの探査ステージとして扱われます。記録されたトラフィックのみを対象に分析とテストの作成が行われ、テストされます。自動の探査ステージはありません。
-
通信
設定
オプション(O)
スレッド数
ASoC がサイトに同時に送信できる要求の最大数を設定します。サイトでこの数量が許可されていない場合は、上限を低くします。サイトで同時スレッドが許可されていない場合は、上限を 1 にします。
タイムアウト
- スキャン中、自動的に調整する
- タイムアウトするまでに ASoC が特定の応答を待機する時間を決定できます。これにより、スキャン時間が大幅に短縮される可能性があります。
- 修正済み
- タイムアウトするまでに ASoC が応答を待機する最大時間を設定します。サイトの応答が遅く、短いタイムアウトが原因で ASoC が応答を見逃している場合は、この設定を長くします。
最大要求速度
デフォルトでは、ASoC はその要求を可能な限り高速でサイトに送信します。この制限によってネットワークまたはサーバーが過負荷になる場合は、この値を小さくします。
-
テスト・オプション
設定
オプション(O)
テスト・ポリシー
ASoC は、AppScan Standard のデフォルトのテスト・ポリシーをスキャンに適用します。ポリシーは、ウィザードでは変更できません。
AppScan Standard でスキャンを構成するか、API を通じて、異なるテスト・ポリシーを適用します。ヒント: テスト・ポリシーは、アプリケーション・ポリシーとは異なります。テストの最適化
必要性に応じてスキャン速度と問題のカバー範囲とのトレードオフのレベルを選択します。スライダーには 4 つのレベルがあります。デフォルトは、「高速」です。詳細は、「テストの最適化」を参照してください。
ログイン/ログアウト・テスト ログイン・ページとログアウト・ページでテストを送信するかどうかを選択します。ログイン・ページでテスト送信を選択した場合、セッション ID を送信するかどうかを指定します。 -
スケジュール
設定
オプション(O)
すぐにスキャン
セットアップとレビューが完了するとすぐにスキャンが実行されます。
後のために保存
構成は、完了すると保存されます。後でスキャンを実行できます。
スケジュール 構成が保存され、1 つ以上のスキャンが構成済みとして実行されます。- 日時を選択する。これらの値はマシンで構成されているタイム・ゾーンに従って入力しますが、ユーザー・インターフェースに表示される時刻は UTC に変換されることに注意してください。
- スキャンを複数実行するには、「繰り返し」を選択して、以下を選択します。
- 毎日: 日単位の間隔 (1 日から 30 日) を選択します
- 毎週: 曜日を選択します
- 毎月: 月単位の間隔を選択し、日付 (数値) または曜日 (最初、2 番目、3 番目、4 番目、最後) を選択します。
注: スケジュール済み時刻になったときに最大数の同時スキャンが実行されている場合は、サブスクリプションで許可されるとすぐにスキャンが開始されます。 - 「終了日」(スキャンが実行される最後の日付) を設定するか、「終了日の削除」をクリックしてスケジュールを無期限に実行します。
-
「レビューおよびスキャン」または「レビューおよび保存」 をクリックします。
-
右側の「設定」セクションでは、以下が可能です。- スキャンに付けられているデフォルト名を編集します。
- 個人スキャンとしてスキャンを実行するように指定します。
- スキャン完了時に E メールを受け取るように指定します。
- 「スキャン有効化」を指定します。デフォルトでは、「介入を許可する」チェック・ボックスが選択されています。つまり、ASoC が、現在の設定ではスキャンが不適切な結果になるおそれがあることを検出した場合、スキャン有効化チームにアラートを通知します。スキャンの状況は「レビュー中」に変わり、レビューが完了すると再開されます (「スキャン状況」を参照)。
- スキャン有効化チームによる介入を許可しない場合は、チェック・ボックスをクリアします。
- 介入を許可する場合は、問題の解決に特定の情報が必要と思われるのであれば、チームへのメッセージを含めることができます。オプション。
- 「スキャン」をクリックします。