レビューと検証タブ

「スキャン構成」>「ログイン管理」>「レビューと検証」タブ

ログイン手順を記録すると、AppScan はアクションと要求の両方を記録します。これらは 「アクション」と「要求」の2 つのサブ・タブに表示されます。ログインの再生を行う場合、AppScan は、(デフォルトでは) アクション・ベースのログインの再現を試行します。これが正常に完了しない場合、要求ベースのログインを使用します。

このタブを使用して、以下を確認および編集します。
  • ログイン手順のアクション・ベース・バージョン
  • ログイン手順の要求ベース・バージョン
  • セッション内検出の要求
  • セッション内 (またはセッション無効) 検出パターン
これは以下の場合にも使用します。
  • 現在の設定の確認
表 1. 「レビューと検証タブ」の設定

設定

詳細

ログイン再生

このセクションは、ログイン方法に「記録されたログイン」を選択した場合にのみ表示されます

ログイン再生方法

AppScan は、記録したログイン手順の 2 つのバージョンを保存します。1 つは実行したアクションをベースに、もう 1 つは実際に送信された HTTP 要求をベースにしています。
  • アクション・ベース: (可能な場合はデフォルトで使用される) AppScan は、アクション・ベースのログインを使用してログインを試行し、ユーザーのクリックとキー・ストロークを再生します。
    • アクション・ベースのプレイヤー・ボタン 再生: アクション・ベースのプレイヤーを開き、記録されたログイン手順をブラウザーで再生します。
    • 編集: アクション・ベースのエディターを開き、ログイン記録の詳細の表示と編集を行います。
  • 要求ベース: 最初の方法が失敗した場合、AppScan は、要求ベース・バージョンのログインを使用します。要求ベース・バージョンのログインでは、ログイン記録から未加工の HTTP 要求を再送信します。
どちらかの方法が失敗したことがメッセージに示された場合、もう一方の方法を使用してください。
注: アクション・ベースのログインを選択してスキャン中に失敗した場合、AppScan は要求ベースのログインを試行します。成功した場合、この設定は自動的に要求ベースに変更されます。

自動ログイン

このセクションは、ログイン方法に「自動ログイン」を選択した場合にのみ表示されます

自動検出 セッション内構成ボタン クリックして、AppScan で以下のアクションを実行します。
  • 指定された資格情報を使用して、サイトへのログインを試みます。
  • ログイン・ページのセッション内検出パターンを識別します (以下を参照)
  • セッション識別子を構成します (「セッション ID」タブを参照)

セッション検出

AppScan は、サイトの応答を正確に評価できるよう、常にサイトへのログインおよびログアウト状態を把握している必要があります。スキャン中、AppScan はセッション内検出要求を繰り返し送信し、応答に「セッション内検出パターン」が含まれていることを確認して、まだログイン状態であることを検証します。AppScan が、ページの応答でこのパターンを検出しなかった場合、AppScan は、ログアウト状態であると見なし、ログイン手順をやり直してログインを再試行します。その結果、通常はスキャン中にログイン手順が何回も繰り返されることになります。そのため、ログイン手順は可能な限り少ないステップで構成することが推奨されます。また、「セッション内」ページが小規模なページであり、追跡パラメーターや Cookie が存在しない場合も、スキャン時間が大幅に増加する可能性があるため、ステップを少なくすることが効果的です。

セッション内検出の要求

これは AppScan がセッション内の検証に使用する要求です。この要求は、ユーザーのログインの有無によって異なる応答を生成するものにする必要があります。

AppScan は、有効なセッション内要求を識別しようとします。これはドロップダウン・リストから 1 つ選択できます。見つからない場合、または適切なものがない場合は、詳細な要求選択ボタンを使用して独自の内容を選択できます。

詳細な要求選択ボタン

このボタンを使用するとダイアログ・ボックスが開きます。ここでログイン手順での要求を検討し、セッション内検出の要求を選択できます。詳しくは、「詳細なセッション内要求の選択」ダイアログを参照してください。

セッション内検出パターン:

(「セッション内検出要求」が選択されている場合にのみアクティブ) このフィールドには、選択したセッション内検出の要求で見つかったパターンが表示されます。これはユーザーがセッション内にいる (または、オプションによってはセッション無効である) ことを示しています。

ドロップダウン・リストで、AppScan がログイン記録で識別した候補から検出パターンを選択できます。パターン下の緑と赤のメッセージは、現在のパターンがセッション内またはセッション無効であることを示しています。
注: 通常、セッション内パターンを使用することが推奨されます。ただし、セッション内要求の後にセッション内パターンが必ずしも返されない場合や、定義が複雑になる場合がまれにあります。そうした場合は、セッション内パターンの代わりにセッション無効パターンを使用することができます。
AppScan が有効なパターンを識別できない場合や、別のパターンを選択する必要がある場合は、「パターンの詳細な選択」ボタンを使用します (この表の次の行)。

正規表現: パターンを識別するために正規表現を入力するには、このチェック・ボックスを選択します。

パターンの詳細な選択ボタン

(「セッション内検出要求」が選択されている場合にのみアクティブ)このボタンで検出パターンを選択ダイアログ・ボックスが開き、記録したログイン手順の要求に対するセッション内およびセッション無効の応答の内容が表示されます(選択した検出パターンに基づきます)。応答のコンテキストで選択した検出パターンを確認し、コンボ・ボックスに表示されない検出パターンを定義することができます。このダイアログでは、すべての記録された応答を切り替えることができます。ボックスの上部では、AppScan により送信されたセッション内要求とセッション無効要求も確認できます。

検証

検証

ボタン
(現在のログイン手順がまだ検証されていない場合にのみアクティブ) クリックして、手順とセッション検出パターンを検証します。

鍵アイコン

鍵アイコンは、セッション内検出の構成状況を示します。

緑色の鍵アイコン 有効に設定され、構成されています。(セッション内ページが、ログイン手順において、自動またはユーザーによって識別されています。)

オレンジ色の鍵アイコン 有効に設定されていますが、完全には構成されていません。

赤色の鍵アイコン 有効にされていますが、構成に失敗しました。

グレーの鍵アイコン 無効に設定されています。

詳細については、「検出パターンの選択」ダイアログ・ボックスを参照してください。