「詳細構成」ビュー

「スキャン構成」ダイアログ・ボックスの「詳細構成」タブ (「スキャン」>「スキャン構成」>「詳細構成」タブ) は、特定のスキャンに影響を与える詳細レジストリー設定を変更するために使用します。このタブは、経験を積んだ AppScan ユーザーである場合にのみ、または、問題をトラブルシューティングするためにサポート・チームから指示された場合にのみ、使用してください。

ヒント: (特定のスキャンではなく) 全般に AppScan に影響を与える詳細レジストリー設定は、ここではなく、「オプション」ダイアログ・ボックスの「詳細」タブ (「ツール」>「オプション」>「詳細」タブ) にあります。
注: それぞれの設定には ID があります。それらの ID は、設定についてサポート・チームと話し合うときに使用できます。グリッド内の項目は、該当する列見出しをクリックすることにより、名前または ID に基づいてソートできます。
注: デフォルト設定が正規表現である場合は、その全体を削除すると、設定は未定義として扱われます (すべてを含む正規表現としては扱われません)。

名前

説明

考えられるユースケース

アクション・ベース:

ログイン再生のブラウザー

ログイン手順を記録する場合は、常に組み込みの AppScan ブラウザーが使用され、アクション・ベースの記録が行われます。ただし、スキャン時に記録を再生する際に AppScan が使用するブラウザーを構成することができます。オプションは以下のとおりです。
  • 0 = Internet Explorer (組み込みバージョン)
  • 1 = Chromium
  • 2 = Chrome
  • 3 = Firefox

デフォルト: 0

テスト・ステージ中に使用できるブラウザー・インスタンスの数

スキャンのテスト・ステージ中に使用できるブラウザー・インスタンスの数を設定します。

デフォルト = 5

サイトでクライアント JavaScript コードを集中的に使用していて、結果として AppScan がスキャン中にフリーズする場合、この数を減らします。

メモリーの消費制限

AppScan のメモリー使用量がしきい値に達した場合、AppScan は、スレッド数を制限してリソースの使用を削減するように動作します。

デフォルト = 1000 MB

マルチステップ再生ブラウザー

マルチステップ・シーケンスを記録する場合は、常に組み込みの AppScan ブラウザーが使用され、アクション・ベースの記録が行われます。ただし、スキャン時に記録を再生する際に AppScan が使用するブラウザーを構成することができます。オプションは以下のとおりです。
  • 1 = Chromium
  • 2 = Chrome
  • 3 = Firefox

デフォルト: 1

マルチステップ再生、非相互作用タイムアウト

マルチステップ操作の再生を停止するための非相互作用タイムアウト (秒単位)。

デフォルト: 10

単一のログイン試行のタイムアウト

ブラウザーが強制的にクローズされるまでに、単一のアクション・ベースのログイン試行のブラウザーによる再生を AppScan が待機する時間 (秒単位)。

デフォルト: 120

通信:

Accept-Language 要求ヘッダー値

すべての HTTP 要求の Accept-Language ヘッダーに送信されるストリング。

このストリングをユーザーが定義しなかった場合、AppScan は、ユーザーがログイン手順やマルチステップ操作を記録するため、あるいはページを表示するために開いたこのスキャンで、ブラウザーから最初に送信された値を使用します。

注: デフォルトのブラウザーを変更する場合は、デフォルト・ブラウザーの変更 にリストされている条件を参照してください。

デフォルト: ja-JP

探査ステージにおいて、Internet Explorer のヘッダー値が原因となって、AppScan が予期しない応答を受信する場合があります。このような場合、このサイトとの対話時にどの値を Accept-Language ヘッダーで使用すべきかを確認し、その値をこの設定 (または Internet Explorer) に定義する必要があります。

カスタム・ヘッダー

AppScan がサイトに送信するすべての要求に追加するカスタム・ヘッダーを定義できます。

デフォルト: empty

サイトで特定のヘッダー内容が予期されている場合 (例えば、特定のクライアントまたはブラウザーのプラグインによってサイトにアクセスするなどの場合) は、そのヘッダーをここで定義します。それぞれのヘッダーの前に区切り文字を指定する必要があります。ヘッダーと値の間には、コロンとシングル・スペースが必要です。

形式: 区切り文字|ヘッダー|コロンとシングル・スペース|値

例 1:
;Header: Value
(この例の場合、区切り文字は ;)
例 2:
,Header1: Value1,Header2: Value2
(この例の場合、区切り文字は ,)

すべてのフォーム・アクションに対してパラメーターのない HTTP 要求を強制する

場合によっては、パラメーターが指定されていない フォームの処理要求を受け取ったときのサーバー・サイドのロジックの動作が異なることがあります。

True に設定すると、AppScan はすべてのフォームに対してパラメーターのない追加要求を送信します。その結果、追加の Web ページおよび機能へのリンクを持つカスタム・エラー・ページが返されることがあります。

デフォルト: 真

スキャン中のトラフィックを確認し、パラメーターのないフォームの処理要求が原因でアプリケーションのタイムアウトや異常終了が発生することがわかった場合は、このオプションを False に設定することをお勧めします。

GSC SSL ポート

この設定により、SSL 通信の GSC で使用されるポート番号が定義されます。

デフォルト: 443

GSC 探査によって提供されたリンクの場合、AppScan はこのポート番号を基にして HTTPS を識別します。SSL 通信用に異なるポートをアプリケーションで使用する場合は、そのポートをここで定義します。正しい SSL ポートを定義しない場合、AppScan® はすべてのテストを HTTP として送信します。

すべての要求に AppScan デバッグ・ヘッダーを含める

True に設定されている場合は、AppScan によってサイトに送信されるすべての要求に、HTTP ヘッダーが追加されます。ヘッダー名は「X-AppScan-Debug」であり、その値には、AppScan がこの特定の要求を送信する理由 (探査、テスト、ログイン再生、サーバー障害検査など) についての情報が含まれます。

デフォルト: False

スキャンが「X-AppScan-Debug」ヘッダーを送信するように構成すると、Web デバッガー、プロキシー、アナライザー、スニファーなどの外部ツールで AppScan トラフィックを追跡するときに役立ちます。

注: 一部のサイトは、このような特殊なヘッダーを含む要求をすべて拒否することがあります。

最大応答長

AppScan は、メモリー消費量に関する問題を回避するため、長い応答を切り捨てます。この設定は、許可する最大応答長をメガバイト単位で定義します。これより長い応答はエラーとして扱われます。

デフォルト: 8

AppScan でリンクが認識されていないかセッションが無効になっているように見える場合、アプリケーションが長い応答を送信することが分かっているときは、最大応答長を増やすことによって問題が解決することがあります。

Accept-Encoding ヘッダーの削除

AppScan はすべてのエンコードをサポートしているわけではないため、サポートしていないエンコードを除去します。この設定が有効になっている場合、AppScan は、サポートしていないエンコードだけでなく、ヘッダー全体を除去します。

デフォルト: 真

AppScan の要求をサーバーが拒否する場合、予期しない応答をサーバーが返す場合、または AppScan がセッションを維持できない場合は、トラフィック・ログを調べて、AppScan が送信する要求とご使用のブラウザーが送信する要求を比較する必要があります。ブラウザーの Accept-Encoding ヘッダーが異なっているか欠落している場合は、この設定を有効にする必要があります。

サーバー接続を再使用する

デフォルトでは、AppScan は TCP 接続を使用後に閉じます。これは、開いている接続と保存データによってスキャン結果が影響を受ける可能性があるからです。

True に設定すると、AppScan は接続を使用後も開いたままにし、可能な限り、開いている接続の再使用を試みます。

デフォルト: False

Web サーバー上でネットワーク・リソースが使い尽くされるというエラーが発生する場合は、この設定を True に変更することにより、問題を解決できる可能性があります。

セキュリティー・パッケージ順序

AppScan は、基本、ダイジェスト、NTML、ネゴシエーション、および Kerberos HTTP 認証をサポートしています。特定の方式の使用または不使用を AppScan に適用する場合、またはサイト/プロキシーで複数の方式が許可されているときに、方式の選択について優先順位を適用したい場合は、この値を編集します。

例えば、「NTLM」と「基本」だけを許可し、使用可能な場合は「NTLM」を優先して使用したい場合は、この文字列を編集して にします。 ntlm, basic

デフォルト: basic, digest, ntlm, negotiate, kerberos

特定の認証方式がサイトで使用されており、AppScan がアクセスを拒否された場合、必要な方式を唯一の方式として定義すると、問題を解決することができます。

特定の方式 (例えば、「基本」と「NTLM」など) を使用してサイトをテストしたい場合、一方のスキャンを「基本」だけを使用するように構成し、もう一方のスキャンを「NTLM」だけを使用するように構成することができます。

スラッシュ正規化

連続する 2 つ以上のスラッシュを 1 つのスラッシュに置き換えて、URL を正規化します。

デフォルト: 真

サイト URL で連続スラッシュを利用している場合は、この設定を非アクティブにしてください。

エラー応答を有効な応答として処理

AppScan は、通常のページとは異なる方法でエラー・ページを処理します (例えば、リンクの構文解析を行わないなど)。この設定を使用すると、すべてのエラー・ページまたは開始 URL に対するエラー・ページのみを通常のページとして処理するよう AppScan に指示できます。

0 に設定すると、AppScan はすべてのエラー応答を無効として処理します。

1 に設定すると、AppScan は開始 URL に対するすべてのエラー応答 (4xx および 5xx) を有効として処理します。

2 に設定すると、AppScan は、通常のページと開始 URL の両方について、すべてのエラー応答を正しい応答として処理します。

デフォルト: 0

開始 URL 応答がエラー・ページの場合、この設定を 1 に変更します。

スキャンによってエラー・ページからデータを抽出してテストしたい場合は、この設定を 2 に変更します。

デフォルト設定を変更すると、パフォーマンスに影響する可能性があることに注意してください。

全般:

AppScan ブラウザーのスクリプト・エラー・ポップアップの抑止

AppScan 組み込みブラウザーで、アクション・ベースのログインの記録と再生、マニュアル探査、マルチステップの記録、ブラウザーでの表示中にスクリプト・エラー・ポップアップを抑止します。

デフォルト: False

無関係なエラー・ポップアップ・メッセージによってアクション・ベースのログインの記録と再生が妨げられる場合は、この値を True に設定することで、それらを抑止できます。「HTTP 認証」エラーおよび「ActiveX コントロールのインストール」プロンプトなどの他のポップアップも抑止されることに注意してください。

冗長なテストをマージする

True に設定すると、AppScan は、同じ 2 つ (またはそれ以上) の要求に対して 1 セットのテストのみを送信します (追加の Cookie は除く)。False に設定すると、そのような要求は、すべて個別にテストされます。

デフォルト: 真

この設定を False に変更すると、パフォーマンスが低下する可能性があります。サポートにより指示された場合のみ、False に変更してください。

プロキシー・ファイル拡張子フィルター

ログイン、マニュアル探査、またはマルチステップ操作を記録するときに保存される URL のリストから削除されるファイル拡張子を定義する正規表現。正規表現を使用して拡張子を削除する場合、その拡張子で終了する URL は、フィルターによって記録から除外されません。

デフォルト: "\.(zip|Z|tar|t?gz|sit|cab|pdf|

ps|doc|ppt|xls|rtf|dot|mp(p|t|d|e|a|3|

4|ga)|m4p|mdb|csv|pp(s|a)|xl(w|a)|

dbf|slk|prn|dif|avi|mpe?g|mov(ie)?|

qt|moov|rmi?|as(f|x)|m1v|wm(v|f|

a)|wav|ra|au|aiff|midi?|m3u|gif|

jpe?g|bmp|png|tif?f|ico|pcx|css|

xml)$"

CAPTCHA イメージ・ファイルなどの特定の種類のファイルを、参照のためにログイン記録に含める必要が生じる場合がまれにあります。そうした場合は、正規表現を使用してそのファイル拡張子 (この場合は jp?g) を削除できます。

ログのサニタイズ

ログから機密情報を除去します。

デフォルト: False

ログから機密情報を除去する必要がある場合は、このオプションをアクティブにし、除去するパターンを「機密情報パターン」オプションで定義します。

ただし、この設定を変更しても既に生成されたログには影響を与えません。

レポートのサニタイズ

レポートから機密情報を除去します。

デフォルト: 真

レポートから機密情報を除去する必要がある場合は、このオプションをアクティブにし、除去するパターンを「機密情報パターン」オプションで定義します。

「スキャン構成」>「フォームの自動入力」で定義されたパスワードは、パターンが定義されていなくても、すべてのレポートから除外されます。

ただし、この設定を変更しても既に生成されたレポートには影響を与えません。

GSC を使用してすべてのテストを送信

AppScan は、GSC を使用して、GSC が検出した一部またはすべてのリンク上でのテストを送信することができます。

0 = GSC を使用して SOAP メッセージのみを送信

1 = GSC を使用して、GSC が検出したリンク上でのすべてのテストを送信

2 = GSC を使用してテストを送信しない

デフォルト: 0

GSC でサイトを探査したときに特別なセキュリティー設定を何も定義しなかった場合、テスト・ステージ中に (GSC ではなく) AppScan がテストを送信できるようにすることで、スキャン時間が大幅に削減されます。ただし、テスト・ステージで多くのテストから応答がなかった場合、または予期しないエラー応答が返された場合は、GSC による要求の送信方法と AppScan による要求の送信方法との違いが原因で、この問題が発生している可能性があります。そのようなテストは、GSC を使用して送信することで問題が解決される場合があります。

機密情報パターン

ログおよびレポートから除外する 1 つ以上のグループを定義する正規表現。これは、「ログのサニタイズ」オプションまたは「レポートのサニタイズ」オプションがアクティブである場合に使用されます。

デフォルト: empty

レポートまたはログから機密情報を除去する必要がある場合は、対応するオプション (「ログのサニタイズ」または「レポートのサニタイズ」) をアクティブにし、ここで正規表現を使用して 1 つ以上のグループを定義します。

機密テキストは次のものに置き換えられます: **CONFIDENTIAL 1**、**CONFIDENTIAL 2**、など。

「スキャン構成」>「フォームの自動入力」で定義されたパスワードは、パターンが定義されていなくても、すべてのレポートから除外されます。

JavaScript™:

外部リンクの取り出し

JavaScript の実行が有効になっている場合に、AppScan で追加サーバーとして構成されていないサーバーが外部リンクで参照されていても、AppScan が外部リンクを取り出すことを許可します。

デフォルト: False

HTML ページは、Dojo ソース・ファイルや jQuery ソース・ファイルなどの外部 JavaScript ソース・ファイルにリンクしていることがよくあります。JavaScript の実行時に、探査ステージで検出されるすべての関連リンクにアクセスする場合は、この設定をアクティブにします。これにより、AppScan のテスト対象となる追加サーバーおよびドメインのリストにすべてのサーバーを追加せずにすむようになります。

AppScan は、リンクを取り出すときに、そのリンク先をテストしたり、そのリンク先を解析して新規リンクを抽出したりすることはありません。

JavaScript リンク・パターン

AppScan は、さまざまなパターンを使用して、JavaScript コード内のリンクを識別します。通常とは異なるパターンがサイトで使用されている場合は、それらをこの正規表現で定義する必要があります。

デフォルト: empty

AppScan が JavaScript コードのリンクを識別していないように思える場合で、サイトで通常とは異なる JavaScript のリンク・パターンが使用されている場合は、ここで 1 つ以上のパターンを定義して、検索対象を AppScan に通知します。

ローカライズ:

HTML エンコード

サイトの HTML 応答に定義されているエンコードをオーバーライドします。

デフォルト: empty

スキャン結果の応答の内容がゆがめられているように見える場合は、次のようなことが考えられます。

1) エンコード方式が AppScan によって正しく識別されなかった。または、

2) サイトの HTML でエンコード方式が間違って定義されている。

1 の解決法: 「探査オプション」ドロップダウン・リストから正しい方式を選択します。

2 の解決法: 正しいエンコード方式をここに入力します。

パラメーターおよび Cookie

冗長な JSON パラメーターをテストから除外

JSON コンテンツ・タイプの本文では、個別にテストする必要がない単一のパラメーターに複数の値を指定することができます。「True」に設定した場合、AppScan は、冗長な値を識別し、テストをサブセットに制限してスキャン時間の短縮を試みます。

デフォルト: 真

特定の重要なパラメーターがテストされなかったことを検出した場合は、設定を「False」に変更します。

冗長な XML パラメーターをテストから除外

XML コンテンツ・タイプの本文では、個別にテストする必要がない単一のパラメーターに複数の値を指定することができます。「True」に設定した場合、AppScan は、冗長な値を識別し、テストをサブセットに制限してスキャン時間の短縮を試みます。

デフォルト: 真

特定の重要なパラメーターがテストされなかったことを検出した場合は、設定を「False」に変更します。

ヘッダー内のカスタム・パラメーターを追跡

この設定は、AppScan v. 8.7.0.1 以前で保存されたスキャンにのみ適用されます。これ以降のバージョンでは、デフォルトの挙動は True に変更され、個々のパラメーターおよび Cookie の設定は以下のように制御されます。「スキャン構成」>「パラメーターおよび Cookie」>「パラメーター定義」>「オプションの追跡」>「一致:」「ヘッダーと本文」 (デフォルト) または「本文のみ」 (パラメーター定義を参照)。

デフォルトでは、AppScan (8.7.0.1 以前) は、カスタム・パラメーターを応答の本文内でのみ検索し、応答のヘッダー内では検索しません。この設定を True に変更すると、AppScan はヘッダー内も検索するようになります。

デフォルト: False

応答ヘッダー内のパラメーターが変更されたことが原因となって、AppScan でセッションが無効になる場合は、この設定を変更することで問題が解決される場合があります。これを行うと、スキャン時間が長くなる場合があることに注意してください。

インライン・コンテンツが存在する場合のみテスト・ステージで動的パラメーターを追跡

テスト・ステージでの動的パラメーターの追跡により、パフォーマンス上の問題が起きる場合があります。したがって、デフォルトでは、テスト・ステージ中の動的パラメーターの追跡は、インライン・コンテンツを持つ応答でのみ行われます。

デフォルト: 真

この設定を False に変更するのは、この種の追跡が不可欠な場合のみに限定してください。

サーバー障害の検出:

探査で「サーバー障害」を確認

探査ステージ中のサーバー障害を確認するために、ハートビート要求の送信を有効にします。

デフォルト: 真

探査ステージで AppScan がサーバー障害エラーを受信するが、実際にはサーバー障害が発生していない場合は、頻繁なハートビート要求をサーバーがブロックしていることがエラーの原因である可能性があります。

スキャン中に AppScan で頻繁にセッションが無効になる場合は、開始 URL が Cookie なしのハートビートとしてサーバーに送信されていることが原因である可能性があります。

この設定を非アクティブにすると問題が解決される場合がありますが、AppScan がサーバーの状況を検証できなくなることに注意してください。

テストで「サーバー障害」を確認

テスト・ステージ中のサーバー障害を確認するために、ハートビート要求の送信を有効にします。

デフォルト: 真

テスト・ステージで AppScan がサーバー障害エラーを受信するが、実際にはサーバー障害が発生していない場合は、頻繁なハートビート要求をサーバーがブロックしていることがエラーの原因である可能性があります。

スキャン中に AppScan で頻繁にセッションが無効になる場合は、開始 URL が Cookie なしのハートビートとしてサーバーに送信されていることが原因である可能性があります。

この設定を非アクティブにすると問題が解決される場合がありますが、AppScan がサーバーの状況を検証できなくなることに注意してください。

探査ステージの再接続の試行

AppScan が探査ステージを終了しようとしており、その前にいくつかのテストが「サーバー障害」が原因となって失敗していて、サーバーがまだ停止している場合、AppScan はサーバーへの接続を何度か試行します。

デフォルト: 5

サーバーが過敏に反応することが分かっている場合、または複数の通信エラーが原因で複数のテストが失敗している一方で、1 回の通信エラーが原因でスキャンが停止している場合は、この数値を増やす必要があります。

要求再試行間隔

失敗した要求 (失敗したハートビート要求を含む) を再送するまでの秒単位の間隔。

デフォルト: 1

接続環境が良くない場合や、サーバーが不安定な場合 (これは、検出漏れや、範囲の縮小につながる場合がある)、影響を小さくするためにこの間隔を増やすことができます。

要求の再試行制限

失敗した要求の送信の再試行回数。

デフォルト: 2

サーバーが不安定である場合や、通信環境がよくない場合は、この設定を増やすとスキャンの効率が向上することがあります。

サーバー障害のタイムアウト

AppScan がサーバーに接続できなかった場合、またはセッションが無効になった場合は、AppScan でスキャンを停止する前に、この設定で定義された期間 (秒単位)、再接続またはセッションの再確立を試行します。

デフォルト: 185

接続速度が遅い場合、または障害後のサーバーの再ロードに時間がかかる場合は、この設定を増やすことをお勧めします。

サーバー障害のハートビート間隔

サーバー障害ハートビート間の秒単位の間隔。

デフォルト: 3 秒

最大: 60 秒

スキャン中に AppScan がサーバー障害エラーを受信する場合は、接続環境がよくないか、またはサーバーが不安定であることが原因である可能性があります。この間隔を増やすことによって問題が解決する場合があります。

テスト・ステージの再接続の試行

AppScan がテスト・ステージを終了しようとしており、その前にいくつかのテストが「サーバー障害」が原因となって失敗していて、サーバーがまだ停止している場合、AppScan はサーバーへの接続を何度か試行します。

デフォルト: 5

サーバーが過敏に反応することが分かっている場合、または複数の通信エラーが原因で複数のテストが失敗している一方で、1 回の通信エラーが原因でスキャンが停止している場合は、この数値を増やす必要があります。

セッション管理:

広告ドメイン

共通 Web 広告ドメインを表す正規表現。ログイン手順の記録中にこれらのドメインに送信された要求は破棄されます。

デフォルト: ad\d.googlesyndication| doubleclick\.net|coremetrics\.|webtrends\ .|112\.2o7\.net|view.atdmt.com| ad.yieldmanager.com|ads.adbrite.com| oasn04.247realmedia.com| segment-pixel.invitemedia.com"

ログイン手順はスキャン中に継続的に再生されるため、これらの不要な要求をフィルターで取り除くことにより、スキャンの効率を高めることができます。

正規表現を完全に削除すると、ドメインはフィルターでは取り除かれないことに注意してください。

ログイン記録の分析

ログイン手順を記録するとき (「スキャン構成」>「ログイン管理」)、AppScan はログイン手順を分析し、セッション内検出設定 (セッション内パターン、セッション内要求、およびログイン中に受け取ったセッション ID) を更新します。

デフォルト: 真

分析に時間がかかりすぎる場合、この設定を「False」に変更できます。ただし、これを行うと、セッション内検出設定を手動で構成する必要があります。

ログインをやり直す前に Cookie を消去する

ログイン手順をやり直す前に、Cookie が削除されているかどうかを判別します。

デフォルト: 真

共通の静的パラメーター値

共通の静的パラメーター値。非ランダム・パラメーター値を検出するために使用されます。非ランダム・パラメーター値は、ログイン中にトラッキングされません。

デフォルト: |true|false|\bon\b|\boff\b|\ bout\b|checked|enabled|log\s?in|log\ s?out|exit|submit|sign|ever|disabled| agree

探査ステージのセッション内バッファリングの無効化

探査ステージ中: 要求の送信時にユーザーがセッション外であったことが要求に対する応答によって示されると、AppScan は、その要求を再送信するためにキューに格納します。これにより、可能な限り広範囲にサイトがスキャンされることになります。

デフォルト: False

サイトにより、ユーザーが頻繁にセッション外にスローされる場合は、セッション内バッファリングによって探査ステージが無限に続行されることがあります。このオプションを True に設定すると、探査ステージの処理速度は上がりますが、サイトの対象範囲が狭くなる可能性があります。

マルチステップ操作実行前のセッション内

デフォルトで、AppScan は、マルチステップ操作を再生する前にセッション内状況を検証します。

デフォルト: 真

未認証ユーザーでマルチステップ操作をテストする場合、またはマルチステップ・シーケンスにログイン手順が含まれる場合は、この設定を False に変更にします。

重要: 「スキャン構成」>「ログイン管理」>「詳細」>「セッション内検出を有効にする」選択解除されており、この詳細設定が True (デフォルト) に設定されている場合、各マルチステップ操作の前にログイン手順全体が再生されます。

セッション内のハートビート間隔

セッション内ハートビート間の秒単位の間隔。

デフォルト: 5

スキャン中に AppScan でセッションが無効になる場合は、接続環境がよくないか、またはサーバーが不安定であることが原因である可能性があります。この間隔を増やすことによって問題が解決する場合があります。

ログイン・コンテンツ・タイプ・フィルター

ログイン手順およびマルチステップ操作手順からフィルタリングによって除去されるべきコンテンツ・タイプを定義する正規表現。ログイン手順またはマルチステップ操作手順が記録される際に、これらのコンテンツ・タイプのヘッダーを含むような応答を求める要求は、手順から除去されます。したがって、スキャン中に AppScan が手順を再生するときには、これらのコンテンツ・タイプのヘッダーを含む応答を求める要求は、手順の一部として送信されません。

デフォルト: text/javascript|application/javascript|

application/x-javascript|image|text/css

サイトのログイン手順、あるいは記録したマルチステップ操作のいずれかで、ここにリストされたコンテンツ・タイプのヘッダーを含むリンクをクリックする必要がある場合には、それを正規表現から除去してください。

ログインの再試行間隔

失敗したログイン要求を再送信する前の秒単位の間隔。

デフォルト: 3

AppScan でセッションが無効になり、ログイン再試行が繰り返し失敗する場合は、頻繁なログイン試行をサーバーがブロックしていることが原因である可能性があります。この間隔を増やすことによって問題が解決する場合があります。

マルチパート のコンテンツ・タイプ・フィルター

不要なメモリー消費を減らすために、特定のコンテンツ・タイプが自動的にマルチパート要求 (複数のコンテンツ・タイプを含む要求) からフィルターで除外されます。この正規表現で定義したコンテンツ・タイプのみがマルチパート要求に含まれ、他のものはすべてフィルターで除外されます。

コンテンツ・タイプ・ヘッダーがない コンテンツが、デフォルトで含まれるようになっており、次の値によって定義されています。
content_without_content_type_header

デフォルト: text/|text/plain|application/javascript|

application/json|application/rtf|application/xml|

text/xml|content_without_content_type_header

重要なコンテンツ・タイプが要求からフィルターで除外される場合は、そのコンテンツ・タイプをこの正規表現に追加します。不要なコンテンツ・タイプを削除してそれらが送信されないようにすることで、メモリー消費量を減らすことができる場合もあります。

ナビゲーション・パラメーター・ホスト

ホストを表す正規表現。ナビゲーション・パラメーターを (値に基づいて) 検出するために使用されます。ナビゲーション・パラメーターはログイン手順で追跡されません。

デフォルト: https?://

サイトのナビゲーション・パラメーター内で、デフォルトの正規表現ではフィルターで除去されない独自のホストを使用している場合は、それらを追加することによりスキャン効率を高めることができます。

この項目を削除すると、ナビゲーション・パラメーターが正しく識別されなくなる可能性があります。

ナビゲーション・パラメーター・スクリプト

ナビゲーション・パラメーターを (パラメーター値に基づいて) 検出するために使用されるサーバー・サイド・スクリプトを記述する正規表現。ナビゲーション・パラメーターはログイン手順で追跡されません。

デフォルト: /[^/\.]+\.(htm|jsp|jsf|ws|dll|asp|php|do)

サイトのナビゲーション・パラメーター内で、デフォルトの正規表現ではフィルターで除去されない独自のサーバー・サイド・スクリプトを使用している場合は、それらを追加することによりスキャン効率を高めることができます。

この項目を削除すると、ナビゲーション・パラメーターが正しく識別されなくなる可能性があります。

ナビゲーション・パラメーター

ナビゲーション・パラメーターを表す正規表現。ナビゲーション・パラメーターはログイン手順でトラッキングされません。

デフォルト: \bnav|url|page|step|redirect|request|

location|target|argument|item|article|

goto|node|action|ctrl|control|source|

menu|frame|command

デフォルトの正規表現ではフィルターで除去されない独自のナビゲーション・パラメーターをサイトで使用している場合は、それらを追加することによりスキャン効率を高めることができます。

この正規表現を変更すると、スキャンの範囲が不十分になったり、セッションを正しく追跡できなくなったりする可能性があります。

セッション内ページの解析

False に設定すると、AppScan は、セッション内ページの解析を実行しません。また、セッション内ページで変更された値を持つ追跡対象パラメーターまたは Cookie を更新しません。

デフォルト: 真

セッション内ページに追跡対象 Cookie またはパラメーターが存在しない場合、この設定を False に変更することで、パフォーマンスを向上させることができます。False に設定すると、AppScan は、セッション内ページの Cookie またはパラメーターの値を更新しません。これにより、セッションが無効になる可能性があります。

ハートビート間の要求数

AppScan は、セッション内検出要求を送信した後、別のセッション内検出要求を送信する前に、少なくともここで定義した数の要求を送信します。

デフォルト: 1

サーバーからの応答が遅いために、スキャンがほとんどセッション内検出要求で構成される場合は (トラフィック・ログを参照)、この値を増やすことによってスキャン時間を短縮できます。

単一のアクション・ベース・ログイン試行のタイムアウト

ブラウザーが強制的にクローズされるまでに、単一のアクション・ベースのログイン試行のブラウザーによる再生を AppScan が待機する時間 (秒単位)。

デフォルト: 120 秒

特別なパターン:

フォームの自動入力から除外

ここにリストするパラメーター名は、フォームの自動入力から除外されます。

デフォルト: ^CFID __EVENTVALIDATION __VIEWSTATE ^CFTOKEN __EVENTARGUMENT __EVENTTARGET ^BV_ 

値が非常に長いパラメーターを指定すると、スキャンが遅くなり、ファイル・サイズが大きくなります。値が非常に長いパラメーターをアプリケーションで使用する場合で、それらのパラメーターがフォームの入力に不要な場合は、それらのパラメーターをこのリストに追加します。

テスト (Tests):

CSRF: 意味のある要求のパターン

デフォルトで、AppScan は、POST 要求、および応答が「トランザクション成功 (Transaction Successful)」であった要求を対象として、クロスサイト・リクエスト・フォージェリーのテストを実行します。

この設定を使用すると、POST 要求だけでなく、その他の要求も、クロスサイト・リクエスト・フォージェリー脆弱性において「意味のある」要求として定義できます。

この定義は、「CSRF: 意味のある応答のパターン」と組み合わせて使用されます。

デフォルト: ^POST

GET 要求に対してもクロスサイト・リクエスト・フォージェリーのテストを行う場合は、この正規表現を変更してください。

CSRF: 意味のある応答のパターン

デフォルトで、AppScan は、POST 要求、および応答が「トランザクション成功 (Transaction Successful)」であった要求を対象として、クロスサイト・リクエスト・フォージェリーのテストを実行します。

この設定を使用すると、「トランザクション成功 (Transaction Successful)」応答だけでなく、その他の応答も、クロスサイト・リクエスト・フォージェリー脆弱性において「意味のある」応答として定義できます。

この定義は、「CSRF: 意味のある要求のパターン」と組み合わせて使用されます。

デフォルト: トランザクション成功

他の種類の応答を受け取る要求についてクロスサイト・リクエスト・フォージェリー脆弱性テストを行う場合は、それらの応答をこの正規表現で定義してください。

差異のしきい値

AppScan 多くの場合、テストが成功したかどうかを確認するために、2 つの応答を比較して、それらが「類似」しているか「差異」があるかを判別します。その際、AppScan は各種アルゴリズムを使用して「類似性の割合」 (100% は 2 つの応答が同一であることを意味する) を割り当てます。AppScan がテスト成果を判別する際、一部の例では「類似性の割合」が「類似性のしきい値」を上回るかどうかを基準にし、別の例では「類似性の割合」が「類似性のしきい値」を下回る かどうかを基準にします。いずれのしきい値も構成可能です。

多くのテストでは、デフォルトの「類似性のしきい値」は 95%、「差異しきい値」は 75% です。これは、次のことを示しています。
  • 成果が類似性 に依存するテスト結果では、「類似性の割合」が 95% 以上 の場合、2 つのページが類似していることを示します。
  • 成果が差異 に依存するテスト結果では、「類似性の割合」が 75% 以下 の場合、2 つのページに差異があることを示します。

この設定に 1 から 100 の間の値 (%) を入力すると、すべてのテストのデフォルトの「差異しきい値」値はオーバーライドされます。「類似性のしきい値」を調整することが必要な場合があります。

デフォルト: 0 (AppScan のしきい値を使用)

類似の応答にわずかな相違を生じさせる原因となる「動的」テキストがご使用のサイトにない場合は、この値を 75 未満に設定することにより、誤検出結果が少なくなる場合があります。

ヒント: 「類似性のしきい値」を調整することが必要な場合があります (以下を参照)。

Cookie のテストを無効にする

この設定は、Cookie テストを完全にオフにするために使用します。

デフォルト: False

アプリケーションの Cookie テストを実行するとスキャンに非常に時間がかかる場合は、テストを無効にすることもできます。ただし、これによって、セキュリティー問題が見落とされる (検出漏れが発生する) 可能性があります。

静的コンテンツに対する Cookie のテストを無効にする

この拡張子を持つページに対する要求では Cookie をテストしません。

デフォルト: ;htm;html;ahtm;ahtml;

chtm;chtml;fhtm;fhtml;mht;

mhtm;mhtml;css;css1;js;

スキャン時間およびメモリー消費量を削減するために、その他のタイプのページ拡張子も対象から除外したい場合があります。その場合は、それらをセミコロンで区切って、除外する拡張子のリストに追加します。

ディレクトリーまたはページをテストしない

このオプションを使用すると、テスト・ステージ中の攻撃から特定のディレクトリーまたはページを除外する正規表現を定義できます。定義されたディレクトリーまたはページのみが除外され、サブディレクトリーまたはファイルは除外されないことに注意してください。

デフォルト: /wps/[^/]*/!ut/

特定のディレクトリーまたはページが脆弱でないことがわかっている場合や、特定のディレクトリーまたはページをテストするとサイトの安定性が損なわれる可能性がある場合は、それらのディレクトリーおよびページをこの正規表現で定義して、スキャン対象から除外できます。

フォルダーおよびそのすべてのサブフォルダーを除外する方法については、「除外するパスおよびファイル」ビューを参照してください。

すべての応答からリンクを抽出

デフォルトで、AppScan は、テスト・ステージにおける新しいリンクの検索を、脆弱な応答内のみを対象として実行します。

デフォルト: False

AppScan がリンクを認識していない可能性があるか、範囲が十分ではないと考えられる場合は、この設定を有効にすることができます。ただし、これによって、スキャン時間が長くなり、ファイル・サイズが増えます。

すべての自動リンクを参照

デフォルトで、AppScan は、脆弱性が含まれている可能性がある自動リンク* のみを参照します。これらは、以下のとおりです。iFrame、Frame、および Redirect です。すべて のタイプの自動リンクを参照するように AppScan を構成できます。

「無視する自動リンク」で定義されている正規表現に一致する要求は、この設定に関係なく、常に送信されない ことに注意してください。

デフォルト: False

他のタイプの自動リンク (スクリプトなど) の脆弱性がサイトに含まれていると考えられる場合は、この設定を有効にします。これにより、スキャン時間が長くなり、ファイル・サイズが増えます。

テスト後にログイン

テストを単一スレッドで送信して、セッション内を検証するか、各テスト後にログイン手順を送信します。

0 = False

1 = テストを単一スレッドで送信して、各テスト後にセッション内を検証します。セッション無効の場合、ログイン手順を送信します。

2 = テストを単一スレッドで送信して、各テスト後にログイン手順を送信します。

デフォルト: 0

設定 1 または 2 は、重要セッションを使用するアプリケーションに必要な場合もありますが、セッションやメモリーの問題を回避するために、頻繁なログアウトを必要とします。その場合、スキャン時間がかなり長くなります。

マルチステップ操作検証限界値

クロスサイト・スクリプティング・テストで検証されるマルチステップ操作シーケンスからの連続した要求の最大数。

デフォルト: 0

応答内で無視するパターン

この正規表現は、テスト応答の分析時に AppScan が無視する応答のセクションを定義します。

テストが成功したかどうかを判別するために応答を比較するときに、AppScan は、応答全体での変更率を測定します。応答が非常に長く、変更がごくわずかの場合、AppScan は差異を見逃し、脆弱性を認識しない可能性があります。

デフォルト: <input[^>]+(__VIEWSTATE|__

EVENTTARGET|

__EVENTARGUMENT|

__EVENTVALIDATION)

[^>]+>

サイトが重要ではない長いセクションを含む応答を送信する場合は、それらのセクションをここに定義することによってスキャンの精度とパフォーマンスが向上する場合があります。

オリジナルの応答の間隔を更新する

テスト・ステージ中に (要求を再送信して) オリジナルの応答を更新するまでの間隔 (秒数)。

テスト応答がぜい弱性を示しているかどうかを AppScan が判別する方法の 1 つは、それを探査応答と比較する方法です。探査応答が、ここで設定された値より古い場合、テストを送信する前に探査要求が再送信されます。それにより、更新された探査応答を比較に使用できるようになります。これは、探査応答が時間によって変化する可能性が高く、テスト応答を古い探査応答と比較することで誤った結果になる可能性がある場合には重要です。

デフォルト: 30 (秒)

ご使用のアプリケーションの応答がこの方法で古くて使用できないものになることがないことが明らかな場合は、この設定をゼロに変更してスキャン時間を削減することができます。探査ステージ要求が再送信されることはありません。

ポート・リスナー・テストの送信

デフォルトで、AppScan は、ポート・リスナー・テストを送信しません。これは、テストが失敗する可能性が高く、検証に長い時間がかかるためです。

デフォルト: False

ネットワークに外部サイトが含まれている場合は、そのサイトがローカル IP アドレスを認識できるように、このタイプのブラインド SQL 注入テストをアクティブにすることができます。

類似性のしきい値

AppScan 多くの場合、テストが成功したかどうかを確認するために、2 つの応答を比較して、それらが「類似」しているか「差異」があるかを判別します。その際、AppScan は各種アルゴリズムを使用して「類似性の割合」 (100% は 2 つの応答が同一であることを意味する) を割り当てます。AppScan がテスト成果を判別する際、一部の例では「類似性の割合」が「類似性のしきい値」を上回るかどうかを基準にし、別の例では「類似性の割合」が「類似性のしきい値」を下回る かどうかを基準にします。いずれのしきい値も構成可能です。

多くのテストでは、デフォルトの「類似性のしきい値」は 95%、「差異しきい値」は 75% です。これは、次のことを示しています。
  • 成果が類似性 に依存するテスト結果では、「類似性の割合」が 95% 以上 の場合、2 つのページが類似していることを示します。
  • 成果が差異 に依存するテスト結果では、「類似性の割合」が 75% 以下 の場合、2 つのページに差異があることを示します。

この設定に 1 から 100 の間の値 (%) を入力すると、すべてのテストの「類似性の割合」値はオーバーライドされます。

デフォルト: 0 (AppScan のしきい値を使用)

類似の応答にわずかな相違を生じさせる原因となる「動的」テキストがご使用のサイトにない場合は、このパーセンテージを大きくすることにより、誤検出結果が少なくなる場合があります。

ヒント: 「差異しきい値」を調整することが必要な場合があります (以下を参照)。

XSS: 反映されたプローブをすべてテスト

通常、特定のペイロード・テキストがサイトからの応答に複数含まれている場合、それらの脆弱性レベルはすべて同じであるため、AppScan はそれらのうちの 1 つだけをテストします。

デフォルト: False

単一の応答内でペイロード・テキストのすべての 出現箇所をテストする場合は、これを True に設定します。

* 自動リンク: ユーザーが対話することなく、ブラウザーによって自動的に送信される、Web ページ上のリンク。