マニュアル探査ツールを使用した QA 自動化テスト・スクリプトの記録

Web アプリケーションの QA テスト環境では、ブラウザーとの対話が自動化された多数のテスト・ケースが、分散サーバー上の複数のブラウザー・インスタンスを使用して頻繁に実行されます。AppScan® マニュアル探査サーバーを使用して、セキュリティー・テスト用に自動化されたこれらのタスクによって生成されるトラフィックを記録することができます。

このタスクについて

この手順は、機能テストで使用されるスクリプトにより生成される HTTP トラフィックを使用して、AppScan スクリプトを記録するのに必要な余分な作業を取り除くために役立ちます。組織内で必要な数のマニュアル探査サーバーを設定し、REST API を使用して、テスト・ケースからテスト・サーバーに送信されるデータの記録を自動化できます。また、REST API を使用して、データを *.htd ファイルとして AppScan Enterprise に自動的に送信し、スキャンとして構成されるようにすることができます。このシナリオでは、マニュアル探査ツールをダウンロードし、コマンド行インターフェースを使用してマニュアル探査サーバーをセットアップします。

注:
  1. *.htd ファイルの最大ファイル・サイズは 20 MB です。この制限を超える場合、記録されているスモール化の手順を使用して、ファイルをより小さなサイズのチャンクに分割してください。
  2. 利便性を考慮し、HTTP トラフィックの収集を自動化して、収集した HTTP トラフィックを使用するスキャン・ジョブの作成を自動化するために使用できるスクリプトrecordTraffic.zip が用意されています。(ファイルがダウンロードされない場合は、リンクを右クリックして、ファイルをハード・ディスクに保存します。)

手順

  1. マニュアル探査ツールをダウンロードして、マニュアル探査サーバーをセットアップします。
    1. ジョブの「スキャン対象」ページの「マニュアル探査」セクションで、「追加」アイコン (追加) をクリックします。
    2. マニュアル探査」ページで、「マニュアル探査ツールまたは AppScan 標準探査データ・ファイルの使用」を選択します。
    3. ツールをダウンロードして、インストールします。
      通常は、<install-dir>\HCL\AppScan Manual Explorer にインストールされます。
    4. サーバーでコマンド行プロンプトを実行し、ディレクトリーを <install-dir>\HCL\AppScan Manual Explorer に変更して、manualexploreserver.exe -host <host_name_ip> -recordingsDir <recordings_dir> と入力します。
      ヒント: 使用可能なコマンド・ライン・オプションをすべて表示するには、-help フラグを使用します。
  2. 選択したポートでのセッションの記録を開始するには、以下のようにします。
    1. ブラウザーで、http://<host_name_ip>:9999/start?port=<recordingPort> にアクセスします。記録ポート番号 (recordingPort) は、記録の ID です。
      例えば、http://myVM:9999/start?port=1111 です。「1111」は、記録するセッションの ID です。
      注: 制御コマンドを発行しているブラウザーがマニュアル探査サーバーをプロキシーとして使用しないようにしてください。そうしないと、制御コマンドが記録に追加されます。
    2. 自動化、または再生に使用されるブラウザーが <host_name_ip>:<recordingPort> をプロキシーとして使用するように設定します。
    3. QA テスト・ケースが含まれている自動化を実行します。
    注: 自動化プロセス中に、ステップ a および b を構成することができます。
  3. 記録セッションを停止するには、以下のようにします。
    1. 自動化テスト・ケースが終了したら、ブラウザーに次の URL を入力して、マニュアル探査記録を停止します。http://<host_name_ip>:9999/stop?port=<recordingPort>&fileName=<recordingDataFile>.fileName 引数を指定すると、記録中に収集されたデータが HTD フォーマットで保存されます。ファイル・パスは <recordings_dir>\<recordingDataFile>.htd です。ファイル名を指定しない場合、ファイルを保存せずに記録が停止します。
    2. トラフィック・データの収集を終了する場合は、quit と入力して、プロセスを終了します。
  4. AppScan Enterprise では、必ず次のことを行ってください。
    1. E メール通知をセットアップする。E メール用の SMTP サーバーが構成されていることを確認してください。Enterprise Console の構成を参照し、警告を受信するための個人用の E メール通知をセットアップしてください。ユーザー設定の構成を参照してください。
    2. マニュアル探査テンプレートで指定された URL のみをテストするためのスキャンを作成します (「探査オプション」ページ)。
    3. 自動化されたスクリプトによって生成されるレポート・パックの「セキュリティーの問題」レポートに関する「警告」を設定します。レポート・パックへの警告の追加を参照してください。
    4. 作成したばかりのジョブのフォルダー ID を URL から書き留めます ( 以下に例を示します。https://<servername>/ase/FolderExplorer.aspx?fid=8)
  5. ASECMD ユーティリティーは、ManualExploreServer コマンド行と同じフォルダーに保管されます。このユーティリティーにより、ステップ 4 で作成されたテンプレートを使用して、記録済みトラフィック・ファイルを AppScan Enterprise に対して公開するコマンドの構成が容易になります。スキャンは、ステップ 4 でスキャン・ジョブを作成したフォルダーに作成されます。
    1. コマンド行プロンプトを開き、AppScan マニュアル探査ツールがあるフォルダーにナビゲートします。
    2. コマンド を入力して、スキャンを作成します。 ASECMD -aseUrl https://<ase_server_name>/ase/ -jobTemplateId 1 -htdFile \\qaserver\recordings\rec1.htd
      注: ユーザー名とパスワードを指定しない場合、コマンド行ユーティリティーは、現在のユーザー・アカウントを認証に使用します。
  6. オプション: ASECMD ユーティリティーで使用可能なコマンド行プロンプトを確認するには、コマンド行プロンプトを開き、asecmd.exe を呼び出します。使用法の詳細がウィンドウに表示されます。
  7. AppScan Enterprise Server の Enterprise Console で結果を表示します。