セキュリティー・テストを行わない基本的なスキャンの構成

最小の構成で基本的なスキャンを構成するには、このタスクを使用してください。このスキャンは、Web アプリケーションでのテスト対象となる URL をより多く自動的に検出します。多くの静的リンクがあって多数のユーザー対話を必要としないアプリケーションでは、この方法を使用します。このスキャンは、セキュリティー問題のテストは行いませんが、サイトの完全な対象を判別するために、サイトの探査を開始する際に役立ちます。

手順

  1. 開始 URL を「スキャン対象」ページに追加します。開始 URL が有効であることと、スキャンしているドメイン以外のドメインにそれらの URL がリダイレクトされないことを確認します。
    Reasons for adding non-valid URLs:

    これを行う理由として、以下のことが考えられます。

    1. インターネットから切断されている場合、または Web サーバーがアクティブになっていない場合。
    2. 開始 URL が実際には別のドメインへのリダイレクトである場合は、2 番目のドメインを開始 URL リストに追加します。例えば、開始 URL www.example.com/support は、実際には support.example.com にリダイレクトします。開始 URL リストには、support.example.comwww.example.com/support の両方が含まれている必要があります。support.example.com が有効でないとしても、開始 URL として追加されていない場合、この状況ではスキャンされません。
    3. 同様に、別のディレクトリーにリダイレクトする内容が開始 URL に存在する場合は、そのディレクトリーも開始 URL として組み込む必要があります。例えば、www.example.com/japan/products にリダイレクトするページが www.example.com/products 内に存在する場合は、両方ともスキャン対象の開始 URL として追加する必要があります。
    4. 開始 URL の一部ではないディレクトリーをスキャンし、さらに、「開始ドメインで、各開始 URL のディレクトリー内およびその下のリンクのみをスキャンする」チェック・ボックスの定義を行いやすくする場合。例えば、開始 URL www.example.com/products は有効な URL ですが、URL www.example.com/services は無効であるとします。ただし、Web サイト上の他のページではなく、両方の URL 内のページをスキャンするとします。これを行うには、両方の URL を開始 URL として追加し、「スキャン対象」ページで「開始ドメインで、各開始 URL のディレクトリー内およびその下のリンクのみをスキャンする」チェック・ボックスを選択します。
  2. 開始 URL に含まれるディレクトリーの上をスキャンするかどうかを決定します。そのディレクトリー内およびその下のみをスキャンする場合は、開始ドメインに含まれる URL しか検出しないため、スキャンは途中で停止される可能性があります。開始 URL の上をスキャンするには、「スキャン対象」ページで「開始ドメインで、各開始 URL のディレクトリー内およびその下のリンクのみをスキャンする」チェック・ボックスをクリアします。
  3. サイトが他のドメインに分岐していて、このスキャンの一部としてそれらのドメインにアクセスする必要がある場合、それらのドメインを「スキャン対象」ページに追加します。
  4. 「環境定義」ページで、サイトを規定する環境を指定します。これにより、送信されるテストの総数を削減することができ、また全体的なスキャン時間を短縮できます。
  5. サイトの特定エリアを除外しなければならない場合があります。「パスおよびファイルを除外」ページで、正規表現を使用して、addtocart 機能などの URL パターンを除外します。
  6. 「探査オプション」ページで、以下のようにします。
    1. スキャン対象を 500 ページに制限します。準備段階のスキャンでは、スキャン中に発生する問題をすべて解決するまで、ページ制限を少なくしておくことが重要です。
    2. 「JavaScript を実行して URL およびダイナミック・コンテンツを見つける」を選択します。これにより、JavaScript コード内で構成された URL がある場合、その URL がスキャンの一環として発見されるようになります。お客様のサイトに Flash が含まれている場合、より多くの URL を発見するために「Flash を実行して URL および潜在的な脆弱性を見つける」を選択します。
    3. サイトを探査するときに使用するスキャン用のユーザー・エージェントを選択します。詳しくは、ユーザー・エージェントを参照してください。
  7. これはアプリケーションの基本的なスキャンであるため、まだセキュリティー問題はスキャンしません。「セキュリティー」ページで、「セキュリティー・テストを実行する」チェック・ボックスを無効にして、「保存」をクリックします。
  8. ジョブを実行します。Web サイトまたはアプリケーションの初期スキャンは常に反復プロセスであるため、ジョブの最初の実行は予備的なものと考えてください。次のスキャンでよりよい結果を得られるように、多くの場合はスキャン構成に変更を行う必要があります。
  9. ジョブおよびレポート・パックが実行された後で、「ページ」レポートを使用してスキャン対象を確認します。