セッション内ページの識別

セッション内検出を使用することで、スキャンは、テストしようとしているアプリケーションからログアウトしているかどうかを検出できます。セッション内パターンは、ログアウト・リンクなどの、ページ内で識別されるパターンです。スキャンでは、ログイン状態が続いていることを確認するために、このパターンを使用することができます。記録されたログイン手順の際に、スキャンはセッション内ページを識別します。このページがセッション内検出で使用するページではない場合、それを変更できます。

このタスクについて

記録されたログイン手順の一部であるページを識別すると、選択されたセッション内ページに続くすべてのページは、探査フェーズの一部としてマークが付けられます。ログイン後には、セッション内ページはマニュアル探査手順の一部でなければなりません。スキャンのセッション内検出が正しく設定されたことを確認するには、「セッション内状態アイコン」を使用します。各アイコンにはメッセージが付随しており、更新や実行可能な修復タスクを示します。
Learn more about insession pages:

スキャンは、自動の探査フェーズおよびテスト・フェーズ時に定期的にアプリケーションをポーリングして、セッション内ページにアクセスできるかどうかを確認し、そのページがまだセッション内にあるかどうかを判別します。ページがセッション内にない場合 (例えば、要求に対する応答が、ログイン・ページまたはカスタマイズされたエラー・ページへのリダイレクトである場合や、指定されたセッション内パターンが欠落している場合) は、次のいずれかが実行されます。

  • セッション外の状態が探査 フェーズで検出されると、スキャンはそのスレッドをすべて停止して、再ログインし、セッション内の状態を検査してから、有効なセッション状態が確認された最後のポイント以降のすべてのページを再探査します。セッション外の原因がページにある場合は、そのページがログに記録され、スキャンは続行されます。ログに記録できないと、ジョブは中断されます。
  • セッション外の状態がテスト・フェーズで検出されると、スキャンはそのテスト・スレッドをすべて停止し、再ログインして、セッション内の状態であることを確認してから、有効なセッション状態が確認された最後のポイント以降のすべてのテストを再実行します。
    • スキャンがセッション外の原因がテストにある場合は、そのテストがログに記録され、スキャンは続行されます。
    • スキャンがセッション外の原因がセキュリティー・テストにある場合は、セキュリティー・アタックがログに記録され、スキャンは続行されます。
  • セッション外の状態が問題の再テスト 時に検出されると (かつ、セッション内検出が元のスキャンで有効であると)、スキャンはテスト・フェーズでセッション外の状態が検出されたときと同じ手順に従います。セッション外の原因がそのテストにある場合は、そのテストがログに記録され、問題の再テストは未完了になります。
Early detection of Login failure due to out-of-session:
セッション外サポートの早期検出が AppScan Enterprise 10.0.4 から追加されました。この機能は、探索フェーズに入る前にセッション外の検出が必要な場合に使用できます。セッション外の早期検出を有効にするには、以下の手順に従います。
  1. AppScan Enterprise アプリケーションにログインします。
  2. 「管理」>「一般設定」>「グローバル拡張プロパティー」に移動します。
  3. 値を 1 または true に設定した LoginVerification という名前の新規プロパティーを作成します。

手順

  1. コンテンツ・スキャン・ジョブの「ログイン管理」ページに移動します。
  2. URL のリストから、セッション内ページとして使用するページを選択し、「セッション内」をクリックします。
  3. ページ内の「セッション内検出を有効にする」セクションで、「セッション内検出を有効にする」チェック・ボックスを選択します。
  4. セッション内パターン・フィールドとして使用される正規表現を編集し、そのパターンを更新するために「更新」をクリックして、「保存」をクリックします。

次のタスク

ログアウト・ページの識別