ガイダンスを使用し探査する

「ガイダンスを使用した探査」機能を使用すると、実行中にフィールドおよびフォームを入力しながら、アプリケーションの特定の部分をクロールし、それぞれの領域に ASoC できます。それにより、該当する領域が DAST スキャンでテストされ、フォームに正しく入力したり、 必要ば場合は特定の順序でリンクを参照したりするために必要な情報を ASoC に持たせることができます。

「ガイダンスを使用した探査」は、特定のユーザー入力が必要である場合や、サイトが別のタイプのツールやデバイスに対してのみ応答する場合に使用します。

「ガイダンスを使用した探査」のデータとして使用するトラフィックを記録する場合は、次の 2 つの方法があります。
  • AppScan Activity Recorder (Chrome または Edge Web ブラウザー用の拡張機能) の使用
  • HCL AppScan Traffic Recorder の使用 (Web API の場合に最適な可能性あり)
どちらの場合も、記録されたトラフィックは DAST.CONFIG ファイルとして保存されます。
ASoC スキャンを作成するときは、次の 3 つの方法のいずれかで「ガイダンスを使用した探査」を使用します。
  • スキャンの探査ステージとして、含まれているアプリケーションの一部のみをテストします
  • 自動の探査ステージに加えて、ASoC でアプリケーションを自動的に探査し、記録データと独自の探査データの両方をテストします。
  • AppScan Standardマニュアル探査を使用して SCAN ファイルとして保存し、ファイルを ASoC にアップロードしてスキャンを作成します。AppScan Standardマニュアル探査は、ASoC「ガイダンスを使用した探査」に相当します。

「ガイダンスを使用した探査」は、DAST スキャンにのみ適用されます。DAST.CONFIG ファイルがアップロードされ、スキャン・ウィザードの探査ステージでガイダンスが構成されます。DAST スキャン構成の「探査」ステップを参照してください。

トラフィックを記録する方法について詳しくは、「トラフィックの記録」を参照してください。

マルチステップ探査

マルチステップ探査は、特定のタイプのガイド付き探査です。この探査では、ASoCどのリンクをクロールするかが表示されるだけでなく、クロールする特定の順序も表示されます。ユーザーが品目をカートに追加し、まだ支払いを行っていないオンライン・ショップなど、要求を特定の順序で送信することによってのみ到達できるサイトの部分をテストするには、マルチステップを使用します。

例えば、サイトの以下の 3 つのページについて考えてみます。
  1. ユーザーがショッピング・カートに 1 つ以上の品物を追加します。
  2. ユーザーが支払いと配送方法の詳細を入力します。
  3. ユーザーが、この注文が完了した確認を受け取ります。
ページ 2 には、ページ 1 が完了した後にのみアクセスできます。ページ 3 には、ページ 2 が完了した後にのみアクセスできます。これがシーケンスです。ページ 2 とページ 3 をテストできるようにするには、各テストの前に ASoC から HTTP 要求の正しいシーケンスを送信する必要があります。
上記の例では、「ページ 1」 > 「ページ 2」 > 「ページ 3」の順に参照する、ガイド付きの探査記録 (DAST.CONFIG) が保存されます。 ASoC では、必要に応じて、このシーケンスから必要なサブシーケンスを抽出します。ページ 2 をテストすると、最初にページ 1 の要求が送信されます。ページ 3 をテストすると、ページ 1 に続いてページ 2 が送信されます。
重要: マルチステップ記録のステップの前には、その前に行われるすべてのステップが先行する必要があり、特定のステップはスキャンで何百回もテストされる可能性があるため、マルチステップをアクティブ化するとスキャン時間が大幅に長くなる可能性があります。そのため、マルチステップは、要求の順序がアプリケーションの特定の部分に到達するために不可欠な場合にのみ使用する必要があります。

複数の DAST.CONFIG ファイル

1 回のスキャンで複数のファイルをアップロードできます。マルチステップがアクティブ化されている場合は、その設定がすべてのファイルに適用されます。DAST スキャン構成の「探査」ステップを参照してください。