ホーム
参照
製品の参照情報を確認します。
フォルダー・エクスプローラーのトピック
フォルダー・エクスプローラーのトピックについて説明します。
フォルダー・エクスプローラーでのスキャンの作成
フォルダー・エクスプローラーでスキャンを作成する方法について説明します。
セキュリティー・スキャンの仕組み
セキュリティー・スキャンには、探査とテスト。

参照
製品の参照情報を確認します。
- ウィザード・トピックの設定
  ウィザード・トピックの設定について説明します。
- フォルダー・エクスプローラーのトピック
  フォルダー・エクスプローラーのトピックについて説明します。
  - フォルダー・エクスプローラーでのスキャンの作成
    フォルダー・エクスプローラーでスキャンを使用する方法について説明します。
  - フォルダー・エクスプローラーでのスキャンの作成
    フォルダー・エクスプローラーでスキャンを作成する方法について説明します。
    - AppScan Enterprise からのスキャン・プロパティーを使用したクイック・スキャン・テンプレートの作成
      クイック・スキャン・テンプレートは、コンテンツ・スキャン・ジョブ、またはインポート・ジョブとレポート・パックから構成されます。フォルダー・リスト内の「テンプレート」フォルダーにスキャン・テンプレートを作成すると、それらは自動的に、クイック・スキャン・ユーザーや、「フォルダー・エクスプローラーの表示」リストでクイック・スキャン・ビューをオンにしているさらに上級のユーザーが、スキャン・テンプレートとして使用できるようになります。クイック・スキャン・ユーザーがスキャンを作成すると、テンプレートに基づいてジョブとレポート・パックが作成されますが、それらはクイック・スキャン・ユーザーにはスキャンとしてのみ表示されます。
    - セキュリティー・テストを行わない基本的なスキャンの構成
      最小の構成で基本的なスキャンを構成するには、このタスクを使用してください。このスキャンは、Web アプリケーションでのテスト対象となる URL をより多く自動的に検出します。多くの静的リンクがあって多数のユーザー対話を必要としないアプリケーションでは、この方法を使用します。このスキャンは、セキュリティー問題のテストは行いませんが、サイトの完全な対象を判別するために、サイトの探査を開始する際に役立ちます。
    - AppScan Enterprise でのスキャン・プロパティーを使用したセキュリティー・スキャンの構成
      セキュリティー・スキャンを、ステージング・サーバーまたは品質保証サーバーなど、実動前環境で実行する必要があります。これを行うことによって、セキュリティー・スキャン実行に関連するリスクを含めることに役立ちます。実動前環境は、可能な限り実稼働環境と同じである必要があります。アプリケーションは、両方の環境に同じ実行可能ファイルを保有する必要があり、これによって公開済みアプリケーションを完全にテストできます。また、セキュリティー・スキャンは、ソフトウェア開発ライフサイクル (SDLC) のプロセスに統合する必要があります。これによって、実稼働環境で発生する前にセキュリティーの問題を把握することができます。
    - セキュリティー・スキャンの仕組み
      セキュリティー・スキャンには、探査とテスト。
    - セキュリティー・テストのワークフロー
      セキュリティー・スキャンは、Web アプリケーション上のすべての URL を検索して、それらに対して脆弱性に関するテストを実行できるように、注意して構成する必要があります。
    - JavaScript™ ソース・コード分析の機能
      JavaScript™ Security Analyzer (JSA) は、JavaScript ソース・コードの静的分析を実行して、クライアント側のさまざまな問題 (主に DOM ベースのクロスサイト・スクリプティング) を検出します。JSA は、探査ステージで AppScan® Enterprise が収集した HTML ページを分析します。JSA は、テスト・ステージと並行して実行することができます。または、既存の探査結果を対象として、手動で随時起動することができます。
    - 詳細構成オプションを使用したスキャンの最適化
      複雑な構成の詳細スキャンを構成するには、このタスクを使用します。アプリケーションをナビゲートするために多くのユーザー対話が必要な Web アプリケーションの場合、またはアプリケーションの特定のエリアのみをテストしたい場合には、この方法を使用します。
    - トラフィック・データのキャプチャーおよびインポート
    - AppScan Standard からのアクション・ベース・ログイン・ファイルのインポート
      AppScan Standard のアクション・ベースのログイン機能は、要求だけではなく、ブラウザー内でのユーザーの実際のアクションを生成し、その手順をブラウザーで再生します。この機能は、AppScan Standard でアクション・ベースのログインを作成し、それを AppScan Enterprise にインポートすることで利用できます。これにより、スキャン中のセッション無効イベントを回避することができます。
    - AppScan® Standard からのマニュアル探査データのインポート
      AppScan® Standard バージョン 7.x 以降からエクスポートしたデータを AppScan Enterprise にインポートできます。このデータをインポートすると、時間を節約したり、冗長な作業を減らすことができます。AppScan .exd ファイルからの URL (パラメーターおよびドメイン) および HTTP 要求のみがインポートされます。
    - レポートで使用するための AppScan® データのインポート
      インポート・ジョブはデータ・ファイルから結果を取得し、それを AppScan® Enterprise Server データベースに統合します。インポートされたデータは、レポートおよびダッシュボードの作成に使用できます。また、コンテンツ・スキャン・ジョブからのデータと結合して、問題の全体像を作成できます。
- レポートを使用したトリアージ
  レポートは、ジョブの実行後に自動的に生成されます。このレポートを使用することで、組織にとって重要な問題の管理を、Enterprise Console のワークフローおよび組織の他のプロセスのワークフローの両方でサポートされる方法で行うことができます。
- 構成マネージャー

セキュリティー・スキャンの仕組み

セキュリティー・スキャンには、探査とテスト。

探査フェーズ

コンテンツ・スキャン・ジョブを実行すると、次のように探査フェーズが開始されます。

スキャンが、ユーザーに代わってアプリケーションをクロールします。クロールは、ジョブのプロパティーで指定した開始 URL から開始されます。アプリケーション内の、フィルターで除外対象にされていないすべてのリンクを見つけようとします。スキャン制限などのスキャンのすべての制約事項が、探査プロセスに対して適用されます。
アプリケーション内の URL のリストが作成されます。
セキュリティー・テストを実施するために必要な情報を得るために、URL が分析されます。

テスト・フェーズ

探査分析の結果を使用して、テスト・フェーズが開始されます。この分析に基づいて、AppScan® Enterprise Server によってテストが作成され、次の処理が行われます。

フィンガープリントを送信します。この送信は、スキャン開始時に Web マスターに対して、これから行う一連の要求がセキュリティーの問題に関して Web サーバーをテストするためのものであることを通知する特別な要求です。
アプリケーション内で、認証を必要とする各 URL にログインします。
URL に対して予備的なテストを実施します。これは結果の解釈に役立ちます。
セキュリティーの問題を明らかにすることを目的とした要求を送信して、URL をテストします。さまざまなバリアントで、要求を再送信します。パラメーターごとに約 40 個のバリアントがあります。これらの要求の一部はサーバーによって拒否されますが、大部分はサーバーを通過し、AppScan® Enterprise Server によって処理されます。
各要求に対する応答を記録します。この記録は、「この問題の情報」レポートで確認できます。「この問題の情報」レポートを開くには、Issue numberをクリックします。
テスト結果を判断します。