Web サイトをスキャンするためのワークフロー

今日の Web サイトでは、多種多様なテクノロジーおよび構成が使用されています。

始める前に

サイトを正常にスキャンするために、必ず以下を行ってください。
  • サイトの可能な限り多くの部分をスキャン対象にします。
  • 重複または無関係のコンテンツはスキャン対象から除外します。
  • レポート結果を有用かつ正確なものにします。
これらの条件を満たしてスキャンを成功させるには、反復アプローチが必要です。また、サイトの構造およびテクノロジーについて確実に理解する必要もあります。
  • スキャンがより迅速に進行できるよう、最初のスキャンでは、開始 URL の数を制限することをお勧めします。
  • 無効な URL を開始 URL として追加して、通常の開始 URL 内およびその下にあるページ以外のページをスキャンすることができます。
  • スキャンされる URL の正式名を把握しておくと役立ちます。それぞれの URL は有効である必要があります。無効の場合はジョブでスキャンできません。スキャン中にジョブで無効な URL が見つかった場合は、「既存の開始 URL」表の次の URL に進みます。ただし、無効な URL は、開始 URL に組み込まれないディレクトリーをスキャンするために使用できます。

手順

  1. スキャンに含める URL、ポート、およびドメインのリストを作成して、サイトをスキャンするジョブに追加します。
  2. サイトをブラウズし、スキャンを中断させる可能性のある項目を探します。次に例を示します。
    • ログイン・ページ
    • 買い物かごに入れる、このページを印刷する、列見出しのソートなどの除外
    • セッション ID、およびその他のパラメーター
    • カスタム・エラー・ページ
    • 値を必要とする可能性のあるフォーム
    • Flash または JavaScript
  3. ジョブ、ジョブのレポート、およびジョブのダッシュボード用のフォルダーを作成するか、それらを独自のフォルダーに配置します。
  4. スキャンを構成し、実行します。
  5. スキャンを詳細化および拡張します。テスト・スキャンのレポート結果には、スキャンをどのように詳細化する必要があるかが示されています。
    1. スキャンは早期に終了しましたか。早期に終了した場合、ログアウト・ページがスキャンの停止の原因である可能性があります。
    2. レポートで誤検出を探します。
    3. レポートから同一ページまたは同一フォームを削除する必要があるかどうかを判断します。ページおよびフォームは、実際には同じであるにもかかわらず、スキャンでは別のものとして表示される原因となるパラメーター (照会ストリングまたはポスト・データ) または Cookie を持つ場合があります。セッション ID などのパラメーターを削除するには、URL およびフォームを正規化する必要があります。そうすると、スキャンで同一のものと認識されるようになります。正規化は、グローバル・ドメインを編集することによってサーバーおよびドメイン・レベルで、または個々のスキャン・ジョブ・レベルで実行されます。特定のドメイン内でスキャンされるすべての URL およびフォームには、同じルールを適用することができます。
    4. アプリケーションの URL の一部が見つからない場合は、マニュアル探査を使用してサイトを手動で探査して、URL をスキャンに追加します。
    5. スキャンを行う必要のあるドメインまたはディレクトリーが他にもあるかどうかを判別するには、「Web サイトのアーキテクチャー」レポートを確認してください。外部として示されているドメインを「スキャン対象」ページに追加すると、それらをスキャンに含めることができます。スキャンされていないドメインがこのページにリストされている場合は、ログイン・ページによってそれらのドメインへのアクセスが阻止された可能性があります。
    6. 結果に基づいて、プロパティーがどのように構成されているかを再評価します。追加のプロパティーを構成したり、既存のプロパティーの設定を変更したりする必要がある場合があります。
  6. Web サイトまたはアプリケーション全体がスキャンされ、正しく分析された (誤検出がない、など) ことが確実になるまで、最後の 2 つのステップを繰り返します。
  7. ジョブおよびそのレポート・パックを再実行します。レポート結果が予期したものではない場合は、パフォーマンスのためのベスト・プラクティスを参照してください。レポート結果が予期したとおりである場合は、セキュリティー・テストをオンにして、ジョブを再実行します。
  8. 以下の方法で、レポート結果を対象者に配布します。
    1. レポート・パックまたはダッシュボードの URL をレポート利用者に E メールで送信します。ユーザーがレポート・パックおよびダッシュボードを表示するには、アクセス権が付与されている必要があります。
    2. レポートを Excel、PDF、XML、または CSV にエクスポートします。