スキャン対象の URL を追加するためのサイトのマニュアル探査

マニュアル探査では、テストするスキャン対象の正確な URL をユーザーが構成内で指示します (スキャンが自動的にクロールして新規 URL を検出することはありません)。アプリケーションをナビゲートするために多くのユーザー対話が必要な Web アプリケーションの場合、またはアプリケーションの特定のエリアのみをテストしたい場合には、この方法を使用します。

始める前に

Get ready:
  1. マニュアル探査を実行する前に、Internet Explorer の「インターネット オプション」の「詳細設定」で HTTP 1.1 を使用するように設定されていることを確認してください。
  2. ローカル・マシン上でアプリケーションをマニュアル探査する場合は、マニュアル探査用のブラウザーで使用するホスト名と Enterprise Console へのアクセスに使用するホスト名が異なるようにする必要があります。そうしないと、スキャンで URL にアクセスできないことがあります。例えば、https://server1/ase を使用して Enterprise Console にアクセスする場合、マニュアル探査では https://server1.domain.com/ase を使用します。

このタスクについて

以下の場合は、ご使用のサイトを手動で探査します。

  • 開始 URL のリストにページを追加するための正確な URL が分からない場合
  • スキャンで認識できないために自動検出されないページ (リンク形式の非標準 js ポストバック、埋め込み js、フラッシュ・リンクなど) を追加したい場合
  • その他の理由 (ページが孤立しているなど) で自動検出されないページを追加したい場合
マニュアル探査は、Web サイトの自動クロールと組み合わせて使用することもできます。その場合、ユーザーが手動でアクセスするページと、AppScan Enterprise により自動的に検出されたページが、スキャンによってすべてテストされます。デフォルトでは AppScan Enterprise には自動探査が含まれますが、以下の方法のいずれかを使用して自動探査をオフにできます。
  • 「スキャン」ビューのコンテンツ・スキャン・ジョブで、「探査オプション」ページに進みます。「スキャン制限」セクションで、「指定された URL 制限 (開始 URL、マニュアル探査、および記録されたログインの各プロパティーに指定された URL。スパイダリングなし)」を選択します。
  • *.scant テンプレート・ベースのスキャンの場合、 AppScan Dynamic Analysis Client の 「ジョブ・プロパティー」ページに進みます。「スキャン」セクションで「テストのみ」を選択します。
場合によっては、数ページのみテストしたいことがあります。現在作成中のページや、修正したばかりの問題を含むページなどです。小規模の切り分けられたスキャンを実行するために、上記で説明したオプションの 1 つによって「マニュアル探査」を使用します。その他の場合は、サイト全体をスキャンすることをお勧めします。「マニュアル探査」と「自動探査」のオプションを組み合わせると、全範囲のすべてのページがアクセスされるようになります。これらのインスタンスでは、代わりにデフォルト・オプションを使用します。
注意: スキャン構成はサード・パーティーによって表示される可能性があるため、このデータには機密情報を含めないでください。ブラウザーの記録を開始する前に、既存のすべてのセッションからログアウトしてください。Enterprise Console インターフェース内でユーザー名およびパスワードが平文で表示されることを防止するため、マニュアル探査ではテスト・ユーザー・アカウントを使用します。

手順

  1. ジョブの「スキャン対象」ページの「マニュアル探査」セクションで、「追加」アイコン (追加) をクリックします。
  2. 「マニュアル探査」ページで、「マニュアル探査ツールまたは AppScan 標準探査データ・ファイルの使用」を選択します。
  3. ツールをダウンロードして、インストールします。
    注:
    • ツールが正しく作動するために、マニュアル探査ツールをホストするマシンでも FIPS が有効になっている必要があります。
    • Microsoft Windows 2008 Server (R2 適用済みまたは未適用) を使用している場合、ツールをインストールしようとすると、「システム管理者によって、ポリシーはこのインストールを実行できないように設定されています。」というエラー・メッセージが表示されることがあります。サーバーに設定されたグループ・ポリシーは、通常のユーザーがインストールを実行することを許可していません。システム管理者に連絡して、グループ・ポリシーを変更するか、自分の代わりにツールをインストールするよう依頼してください。
  4. マニュアル探査を起動するには、「スタート」メニュー > 「HCL AppScan Manual Explorer」に移動するか、またはデスクトップ・アイコンを使用します。
  5. 「ファイル」 > 「設定」をクリックし、記録ツールに関する設定を以下のように構成します。
    • ブラウザー
      注:
      1. Internet Explorer/Google Chrome: 記録を開始する前に実行中のブラウザー・インスタンスがある場合は、それらをすべて閉じてください。これには、AppScan® Enterprise を実行しているインスタンスも含まれます。記録が終了したら、ブラウザーを再オープンできます。
      2. Mozilla Firefox:
        • AppScan® Enterprise がシステム・プロキシーを使用しているときに Internet Explorer または Google Chrome で記録しようとする場合は、Firefox ブラウザーを閉じ、記録を実行し、その後で Firefox ブラウザーを再オープンしてください。
        • 初めてマニュアル探査を使用してトラフィック・データを記録するために Firefox を使用している場合、必ず開いているすべての Firefox ブラウザー・インスタンスを閉じてください。
    • 無効な証明書の接続
    • 優先されるプロキシー・ポート。記録時にこのポートが使用中の場合、代わりに別のポートが使用され、ここに示されます。
    • トレース・ログ・レベル
  6. AppScan® マニュアル探査ツール上で「記録を開始」をクリックし、アプリケーションをナビゲートします。
    注: https:// サイトを探査する場合、無効な証明書に関するエラーを受け取ることがあります。これはマニュアル探査ツールに対する無効な証明書であり、Web サイトに対するものではありません。証明書を受け入れてください。
  7. サイトの探査が終了したら、ファイルを保存し、Manual Explorer ツールを閉じます。
  8. コンテンツ・スキャン・ジョブの「マニュアル探査」ページで、*.htd ファイルをインポートし、ウィンドウを閉じ、「保存」をクリックして、URL をスキャンに追加します。
  9. 「マニュアル探査済み URL」ページから、発見された URL のリストを検討します。
  10. 「マニュアル探査済み URL」リストから削除する URL を選択して、「削除」をクリックします。
  11. 「マニュアル探査済みの追加ドメイン」リストから削除するドメインを選択して、「削除」をクリックします。次に「保存」をクリックします。
    注: 編集の終了前に誤って「保存」をクリックした場合でも、「スキャン対象」ページで編集できます。
  12. 「マニュアル探査済みの自動フォーム入力フィード」ページで、マニュアル探査時に発見された自動フォーム入力フィールドを検討し、スキャンの対象に含めないフィールドを除去し、「保存」をクリックします。
  13. (オプション) スキャンで、URL が整然とした順序になっているかどうかテストする場合には、「スキャン対象」ページの「マニュアル探査」セクションで該当のチェック・ボックスを選択します。Web アプリケーションの一部が、要求を特定の順序で送信すること (マルチステップ操作) によってのみ到達できるときには、このオプションを選択します。スキャンは、スキャンがテストを送信する前に URL が記録された順序で URL を再生します。
    注:

    Web アプリケーションには、ショッピング・カートや銀行口座の申し込みのように、特定の順序で要求を送信したときにのみ到達できる部分があります。これらの URL を順序どおりに再生するようにスキャンを構成することができます。この例では、ユーザーがオンライン・ショッピングを行い、オンライン・ショッピング・カート・アプリケーションの次の 3 ページにアクセスします。

    • ページ A: ショッピング・カードに 1 つ以上の項目を追加します。
    • ページ B: 支払いおよび配送の詳細を入力します。
    • ページ C: 注文が完了したという確認を受け取ります。

    ページ B は、ページ A からのみアクセスできます。ページ C はページ A の後のページ B からのみアクセスできます。マニュアル探査中に、単一のシーケンス、ページ A > ページ B > ページ C を記録します。ページ C をテストするには、スキャンの実行時に、各テスト前に HTTP 要求を正しいシーケンスで送信する必要があります。ページ B をテストする場合、スキャンでは、まずページ A の要求を送信します。ページ C をテストする場合は、ページ A の要求を送信した後で、ページ B の要求を送信します。

    1. スキャンで、A を送信してから、B でテスト 1 を実行する
    2. スキャンで、A を送信してから、B でテスト 2 を実行する
    3. スキャンで、A、B の順に送信してから、C でテスト 1 を実行する
    4. スキャンで、A、B の順に送信してから、C でテスト 2 を実行する
    マルチステップ操作の性質上、マルチステップ要求は単一スレッド・モードで送信されるため、スキャンのパフォーマンスは低くなる可能性があります。

タスクの結果

マニュアル探査から追加した URL は、「Additional URLs」リストに追加され、開始 URL のリストと同じように扱われます。マニュアル探査から追加したドメインは、「Additional Domains」リストに追加されます。

次のタスク

スキャンへのサーバーおよびドメインの追加