ホーム
参照
製品の参照情報を確認します。
フォルダー・エクスプローラーのトピック
フォルダー・エクスプローラーのトピックについて説明します。
フォルダー・エクスプローラーでのスキャンの作成
フォルダー・エクスプローラーでスキャンを作成する方法について説明します。
詳細構成オプションを使用したスキャンの最適化
複雑な構成の詳細スキャンを構成するには、このタスクを使用します。アプリケーションをナビゲートするために多くのユーザー対話が必要な Web アプリケーションの場合、またはアプリケーションの特定のエリアのみをテストしたい場合には、この方法を使用します。
ログイン・ページおよびログアウト・ページの処理
スキャンで Web アプリケーションのログイン・ページとログアウト・ページを処理する方法を構成します。複雑なログイン・プロセスに従うにはログイン手順を使用します。あるいは、スキャンが遭遇するログアウト・ページを検出するためには、正規表現を入力します。ログアウト・ページは、スキャンが途中でアプリケーションまたは Web サイトからログアウトしないようにするために識別されます。
ログイン構成ヒューリスティックによるアプリケーション・ログインの向上
アプリケーション・ログイン時に、正しいセッション ID の検出、JavaScript™ 実行の処理、セキュリティー管理のバイパス、または「セッション内ページ」の識別を自動化プログラムによって行うことは、困難な場合があります。

参照
製品の参照情報を確認します。
- ウィザード・トピックの設定
  ウィザード・トピックの設定について説明します。
- フォルダー・エクスプローラーのトピック
  フォルダー・エクスプローラーのトピックについて説明します。
  - フォルダー・エクスプローラーでのスキャンの作成
    フォルダー・エクスプローラーでスキャンを使用する方法について説明します。
  - フォルダー・エクスプローラーでのスキャンの作成
    フォルダー・エクスプローラーでスキャンを作成する方法について説明します。
    - AppScan Enterprise からのスキャン・プロパティーを使用したクイック・スキャン・テンプレートの作成
      クイック・スキャン・テンプレートは、コンテンツ・スキャン・ジョブ、またはインポート・ジョブとレポート・パックから構成されます。フォルダー・リスト内の「テンプレート」フォルダーにスキャン・テンプレートを作成すると、それらは自動的に、クイック・スキャン・ユーザーや、「フォルダー・エクスプローラーの表示」リストでクイック・スキャン・ビューをオンにしているさらに上級のユーザーが、スキャン・テンプレートとして使用できるようになります。クイック・スキャン・ユーザーがスキャンを作成すると、テンプレートに基づいてジョブとレポート・パックが作成されますが、それらはクイック・スキャン・ユーザーにはスキャンとしてのみ表示されます。
    - セキュリティー・テストを行わない基本的なスキャンの構成
      最小の構成で基本的なスキャンを構成するには、このタスクを使用してください。このスキャンは、Web アプリケーションでのテスト対象となる URL をより多く自動的に検出します。多くの静的リンクがあって多数のユーザー対話を必要としないアプリケーションでは、この方法を使用します。このスキャンは、セキュリティー問題のテストは行いませんが、サイトの完全な対象を判別するために、サイトの探査を開始する際に役立ちます。
    - AppScan Enterprise でのスキャン・プロパティーを使用したセキュリティー・スキャンの構成
      セキュリティー・スキャンを、ステージング・サーバーまたは品質保証サーバーなど、実動前環境で実行する必要があります。これを行うことによって、セキュリティー・スキャン実行に関連するリスクを含めることに役立ちます。実動前環境は、可能な限り実稼働環境と同じである必要があります。アプリケーションは、両方の環境に同じ実行可能ファイルを保有する必要があり、これによって公開済みアプリケーションを完全にテストできます。また、セキュリティー・スキャンは、ソフトウェア開発ライフサイクル (SDLC) のプロセスに統合する必要があります。これによって、実稼働環境で発生する前にセキュリティーの問題を把握することができます。
    - セキュリティー・スキャンの仕組み
      セキュリティー・スキャンには、探査とテスト。
    - セキュリティー・テストのワークフロー
      セキュリティー・スキャンは、Web アプリケーション上のすべての URL を検索して、それらに対して脆弱性に関するテストを実行できるように、注意して構成する必要があります。
    - JavaScript™ ソース・コード分析の機能
      JavaScript™ Security Analyzer (JSA) は、JavaScript ソース・コードの静的分析を実行して、クライアント側のさまざまな問題 (主に DOM ベースのクロスサイト・スクリプティング) を検出します。JSA は、探査ステージで AppScan® Enterprise が収集した HTML ページを分析します。JSA は、テスト・ステージと並行して実行することができます。または、既存の探査結果を対象として、手動で随時起動することができます。
    - 詳細構成オプションを使用したスキャンの最適化
      複雑な構成の詳細スキャンを構成するには、このタスクを使用します。アプリケーションをナビゲートするために多くのユーザー対話が必要な Web アプリケーションの場合、またはアプリケーションの特定のエリアのみをテストしたい場合には、この方法を使用します。
      - スキャンへのサーバーおよびドメインの追加
        追加のドメインおよびマルチサーバー環境について説明するために、追加のサーバーおよびドメインをスキャンの「スキャン対象」ページに追加します。
      - コンテンツの追加検索
        XRule は XML スクリプトで、Web サイトまたはアプリケーションのスキャンの強化、およびスキャンによって収集された情報のデータベース検索に使用されます。サイトをスキャンするジョブの機能強化に使用する場合、XRule は Flash ファイル内のリンクを検索したり、JavaScript™ 内で動的に作成されたリンクを検索したり、またはログイン・ルーチンを実行したりできます。
      - WebSphere® Portal のスキャン
        スキャンするポータルを指定します。
      - スキャン制限の設定
        スキャン制限を設定して、スキャンを絞り込みます。ページ数、冗長コンテンツのパス、またはクリックの深さによって、スキャンを制限することができます。
      - スキャンからの URL の除外
        スキャン時に分析対象から特定のファイル、ディレクトリー、またはファイル・タイプを除くには、除外を行います。サイト内のあるセクションを分析に含めると、全体のスキャン結果に悪影響がある場合があります。これは、そのセクションが作成中であり、既知の問題があるためと考えられます。サイト内のこのセクションを除外すると、レポートおよびダッシュボード結果への影響を回避できます。
      - URL およびフォームの正規化
        正規化ルールは、URL およびフォームが一意であり、レポート内で誤って繰り返されていないかどうかを、スキャン・ジョブが判別する際に役立ちます。
      - パラメーターおよび Cookie の定義
        スキャン操作をしてほしくないセッション ID やパラメーターなど、特別な扱いを必要とするパラメーターおよび Cookie もあります。
      - ログイン・ページおよびログアウト・ページの処理
        スキャンで Web アプリケーションのログイン・ページとログアウト・ページを処理する方法を構成します。複雑なログイン・プロセスに従うにはログイン手順を使用します。あるいは、スキャンが遭遇するログアウト・ページを検出するためには、正規表現を入力します。ログアウト・ページは、スキャンが途中でアプリケーションまたは Web サイトからログアウトしないようにするために識別されます。
        ログイン構成ヒューリスティックによるアプリケーション・ログインの向上
        アプリケーション・ログイン時に、正しいセッション ID の検出、JavaScript™ 実行の処理、セキュリティー管理のバイパス、または「セッション内ページ」の識別を自動化プログラムによって行うことは、困難な場合があります。
        ログイン手順の記録
        ログイン手順を記録することにより、サイトへのログイン手順(クリックするリンク、フォームに入力するテキスト、これらを行う順序) をスキャンに伝えることができます。
        資格情報を使用したアプリケーションへのロギング
        スキャンでユーザー名およびパスワード資格情報を自動的に使用してアプリケーションにログインするように、これらの情報を構成することができます。
        セッション内ページの識別
        セッション内検出を使用することで、スキャンは、テストしようとしているアプリケーションからログアウトしているかどうかを検出できます。セッション内パターンは、ログアウト・リンクなどの、ページ内で識別されるパターンです。スキャンでは、ログイン状態が続いていることを確認するために、このパターンを使用することができます。記録されたログイン手順の際に、スキャンはセッション内ページを識別します。このページがセッション内検出で使用するページではない場合、それを変更できます。
        ログアウト・ページの識別
        ログアウト・ページは、スキャンが途中でアプリケーションまたは Web サイトからログアウトしないようにするために識別されます。
      - Web フォームの自動入力
        「フォームの自動入力」を使用して、コンテンツ・スキャン・ジョブが遭遇するフォーム・フィールドの値をそのジョブに提供します。提供したフィールド値を使用すると、スキャンは、解析のためのより多くの URL とコンテンツの検出を中断することなく続けることができます。
      - Web サーバーへの接続
        ネットワークに接続されるときのスキャン・ジョブの振る舞いを定義します。
      - Web サイトへの認証
        スキャン・ジョブは、Windows™ NT® 認証を要求するページに遭遇すると、選択したユーザー名とパスワードを自動的に提供します。認証されたページ用のユーザー名とパスワードを追加できます。クライアント側の証明書には、スキャン・エンジンおよびマニュアル探査/記録されたログインが、特定のクライアント証明書ファイルに依存しているのか、それともスキャン対象のサーバーでの認証用の、サービス・アカウントの証明書ストアに依存しているのかが記述されています。
      - スキャンでの認識用のカスタム・エラー・ページの識別
        カスタム・エラー・ページは Web サイトで使用され、ユーザーがリンク切れに遭遇したときに「行き止まり」にならないようにします。代わりに、エラー・ページによってユーザーを別のページ (ホーム・ページなど) に誘導します。
      - プライバシー・ステートメント・リンクのスキャンの構成
        Web サイトで情報を要求される場合、データがどのように使用されるかを Web サイトの訪問者が容易に判別できることが重要です。Web サイトのプライバシー・ポリシーは、データが収集される理由、データにアクセスできる人物、およびデータの送信後に Web サイトの訪問者がそのデータに関して持っている権利のタイプを記述します。ユーザーが必要とする情報を提供する最適な方法は、個人データを収集するフォームを含むページから、そのデータを管理するプライバシー・ポリシーへのリンクを用意することです。
      - スキャン対象の URL を追加するためのサイトのマニュアル探査
        マニュアル探査では、テストするスキャン対象の正確な URL をユーザーが構成内で指示します (スキャンが自動的にクロールして新規 URL を検出することはありません)。アプリケーションをナビゲートするために多くのユーザー対話が必要な Web アプリケーションの場合、またはアプリケーションの特定のエリアのみをテストしたい場合には、この方法を使用します。
      - 静的分析データと動的分析データとの相関
        AppScan® Source からデータをインポートし、その内容を既存の動的分析セキュリティー・スキャン (AppScan Enterprise Server コンテンツ・スキャン・ジョブまたは AppScan Standard インポート・ジョブ) と相関させます。
      - 増分スキャン
      - 「テストの最適化」ビュー
        テストの最適化では、AppScan® のインテリジェントなテスト・フィルタリングを使用して、問題範囲の損失を最小限に抑えながら、速度が必要な場合により高速なスキャンを実現します。ニーズに応じて 4 つの最適化レベルから選択します。
      - セキュリティーの問題の再テスト
        セキュリティー問題を再テストすると、問題が本当に修正されたかどうかを素早く確認できます。ジョブ全体を実行して結果を確認するのではなく修正した 1 つ以上の問題を選択して、それらをすぐに再テストできます。
    - トラフィック・データのキャプチャーおよびインポート
    - AppScan Standard からのアクション・ベース・ログイン・ファイルのインポート
      AppScan Standard のアクション・ベースのログイン機能は、要求だけではなく、ブラウザー内でのユーザーの実際のアクションを生成し、その手順をブラウザーで再生します。この機能は、AppScan Standard でアクション・ベースのログインを作成し、それを AppScan Enterprise にインポートすることで利用できます。これにより、スキャン中のセッション無効イベントを回避することができます。
    - AppScan® Standard からのマニュアル探査データのインポート
      AppScan® Standard バージョン 7.x 以降からエクスポートしたデータを AppScan Enterprise にインポートできます。このデータをインポートすると、時間を節約したり、冗長な作業を減らすことができます。AppScan .exd ファイルからの URL (パラメーターおよびドメイン) および HTTP 要求のみがインポートされます。
    - レポートで使用するための AppScan® データのインポート
      インポート・ジョブはデータ・ファイルから結果を取得し、それを AppScan® Enterprise Server データベースに統合します。インポートされたデータは、レポートおよびダッシュボードの作成に使用できます。また、コンテンツ・スキャン・ジョブからのデータと結合して、問題の全体像を作成できます。
- レポートを使用したトリアージ
  レポートは、ジョブの実行後に自動的に生成されます。このレポートを使用することで、組織にとって重要な問題の管理を、Enterprise Console のワークフローおよび組織の他のプロセスのワークフローの両方でサポートされる方法で行うことができます。
- 構成マネージャー

ログイン構成ヒューリスティックによるアプリケーション・ログインの向上

アプリケーション・ログイン時に、正しいセッション ID の検出、JavaScript™ 実行の処理、セキュリティー管理のバイパス、または「セッション内ページ」の識別を自動化プログラムによって行うことは、困難な場合があります。

スキャンでは、ログイン構成ヒューリスティックのセットを使用して、以下のものを識別します。

スキャンから除外する不要なページ
スキャン中に追跡する必要があるパラメーターおよび Cookie
セッション内ページ検出に使用するのに最適なページ

不要なページ

これらのヒューリスティックでは、セッションを獲得する上で重要でないページは削除されます。これにより「セッションが失われる」問題が解決されるわけではありませんが、スキャン・パフォーマンスや他のヒューリスティック・セットのパフォーマンスが向上します。不要なページが検出されない場合、これらのヒューリスティックが動作中であることはユーザーにはわかりません。不要なページが検出された場合、ユーザーは保持するページや削除するページを選択できます。

パラメーターおよび Cookie

このヒューリスティック・セットでは、スキャン時に追跡する必要があるパラメーターおよび Cookie が識別されます (スキャン・エンジンは、ターゲット・サイトの応答からこれらのエンティティーの値を更新します)。これらのヒューリスティックは、ユーザー名とパスワードのパラメーター、およびログイン時に JavaScript™ 実行が必要かどうかについても識別します。

セッション内ページおよびパターン

このヒューリスティック・セットは、セッション内検出に使用するのに最適なページの識別を試み、さらに、このページが「ログイン済み」ページであることを示す文字列をこのページから抽出します。