ランタイム中に送信されるトラフィックを監視し、検出された脆弱性をレポートするには、IAST エージェントをダウンロードしてテスト対象のアプリケーションの Web サーバーにデプロイする必要があります。
始める前に
- テスト対象のアプリケーションを Web サーバーにインストールしている必要があります。
- アプリケーション・サーバーに IAST エージェントを構成するには、管理者として作業を行う必要があります。
- AppScan Enterprise アプリケーションの「モニター」ビューにある「ポートフォリオ」タブで、アプリケーションの作成が完了している必要があります。AppScan Enterprise アプリケーションでのアプリケーションの作成方法について詳しくは、「アプリケーションの作成」を参照してください。
このタスクについて
このセクションでは IAST エージェントをダウンロードし、Web サーバーのテスト対象アプリケーションにデプロイする方法について説明しています。 手順
-
AppScan Enterprise Server アプリケーションにログインします。
-
「モニター」 ページ > 「ポートフォリオ」 タブに移動し、使用可能なアプリケーションの一覧を表示します。
-
IAST エージェントのダウンロード先に指定するアプリケーションをクリックします。
対象のアプリケーションのページが表示されます。アプリケーションの作成方法について詳しくは、
アプリケーションの作成を参照してください。
-
左側のペインで「IAST エージェント」をクリックします。
IAST エージェントのページが右側のペインに表示されます。
-
「新規エージェントの作成」をクリックします。
「IAST の開始」ページが表示されます。
-
「新規エージェントの作成」をクリックします。
IAST エージェントの作成ページが表示されます。
-
テスト対象のアプリケーションが Java ベースのアプリケーションの場合は、「エージェント・タイプ」ドロップダウン・リストから「Java」を選択します。Java ベース以外のアプリケーションについては、テスト対象のアプリケーション開発に使用している言語に該当するものを選択します。
注: IAST の機能は Java ベースのアプリケーションのみをサポートしています。
-
「エージェント名」ボックスに、対象のアプリケーション用として作成するエージェントの固有名を入力します。エージェント名には英数字と最大 30 文字までの特殊文字を使用できます。
-
「エージェントのダウンロード」をクリックします。「ダウンロード・フォルダーを確認してください。」というメッセージが表示され、AppScanIASTAgent ファイルがシステムのデフォルトのダウンロード・フォルダーに保存されます。
-
AppScanIASTAgent ファイルをフォルダーに解凍します。
-
AppScanIASTAgent ファイルの解凍先フォルダーから Secagent.war ファイルをコピーし、テスト対象のアプリケーションの Web サーバーに保存します。
-
IAST に脆弱性を検出させるには、テスト対象のアプリケーションを操作します。
注: IAST スキャンはそれ自体の要求を送信しません。システム・テスト、マニュアル探査、または DAST スキャンなどのテストを実行しているアプリケーションに要求が送信された場合にのみ、問題を検出できます。
-
アプリケーションのタブ・ビューに移動し、左側のペインで「すべての問題」をクリックすると、検出されたセキュリティ上の脆弱性が問題の一覧に表示されます。
注: フィルターを Discovery Method=IAST に構成すると、そのアプリケーションの IAST に関する問題のみが表示されます。
タスクの結果
IAST エージェントはテスト対象アプリケーションの Web サーバー上にデプロイされます。これで、IAST エージェントによって検出されたすべての問題を、対象アプリケーションのモニターのページから確認できます。