外部トラフィック・レコーダーを使用した探査

これは、非 SOAP Web サービス・スキャンの単純なワークフローの例です。

このタスクについて

このサンプル・ワークフローは、概念的な各ステップを個別に示しています。
注: 外部トラフィック・レコーダーの同じインスタンスを介して、複数のモバイル・デバイスから構成および要求を行うことができます。すべてのドメインおよび要求が一緒にリストされます。

手順

  1. テンプレートの選択

    「ファイル」>「新規」をクリックし、テンプレートを選択します。

    • IBM® Worklight®開発者の場合:
      1. Worklight テンプレートを選択します。
      2. Worklight アプリケーション・コードでアプリケーション認証(認証性)を使用している場合:Worklight サーバーで Worklight コンソールを開き、アプリケーション認証(認証性)が無効になっていることを確認します。有効の場合は、アプリケーションコードで無効にします。
    • その他の環境の場合: 「標準的なスキャン」テンプレートを使用します。
    注: ご使用のマシンの Internet Explorer で AppScan をプロキシーとして使用するように構成されている場合、AppScan が Internet Explorer のプロキシー設定を使用するように構成されていないことを確認する必要があります。そのように構成されていると、ループが発生するためです。この競合を解決するには、「構成」>「通信およびプロキシー」タブで、他の 2 つのオプションのいずれかを選択します。
    • プロキシーを使用しない
    • カスタムのプロキシー設定を使用
    これを行わずに外部トラフィック・レコーダーを使用してマニュアル探査を記録した場合、設定が自動的に「プロキシーを使用しない」に変更されます。チェック・ボックスが選択されているかどうかに関係なく、テスト・ステージの冗長性調整が使用されます。
  2. ウィザードの「ようこそ」ダイアログ・ボックスで、外部デバイス/クライアント (AppScan を記録プロキシーとして使用) を選択し、「次へ」をクリックします。
  3. ウィザードのステップに従います。
    1. 記録プロキシー
    2. (オプション) 接続設定
    3. SSL 証明書
    4. ログイン管理
    5. (オプション) ログイン管理の詳細
    6. テスト・ポリシー
    7. 完了
  4. 「外部トラフィック・レコーダー」が開き、「着信接続を待機中」状況が示されたら、ご使用のデバイス/アプリケーションから Web サービスのマニュアル探査を行います。
    1. デバイスまたはアプリケーションを使用して、Web サービスを探査します。

      探査を行うと、検出されたドメインがレコーダーの左側のペインにリストされ、URL が右側のペインにリストされます。

    2. 完了したら、AppScan で「記録の停止」をクリックします。
  5. マニュアル探査データの確認および編集:
    検出されたドメイン
    要求が送信されたすべてのドメインがリストされ、「追加のサーバーおよびドメイン」(「構成」>「URL およびサーバー」>「追加のサーバーおよびドメイン」) のリストへの追加対象としてデフォルトで選択されています。これにより、それらのドメインをスキャンに組み込むことができます。スキャンに組み込みたくないドメインは選択解除することができます。
    ヒント: 他の企業に属しているドメインは選択解除することをお勧めします。
    送信された要求数
    デバイスから選択された ドメインに送信されたすべての要求が、左側のペインにリストされます。左側のペインでドメインを選択/クリアすると、要求リストは更新されます。不要な場合は、特定の要求を削除することができます。
    ヒント: フィルター済みの要求の総数が 200 を超えている場合、その一部を削除することで、スキャンをより効率的に行うことができます。
    注: このステージでは、「エクスポート」をクリックして、他のマシンで使用できるように探査データを保存することができます。
  6. 「OK」をクリックしてレコーダーを閉じます。

    AppScan では、データの処理および表示には少し時間がかかります。

  7. テスト・ステージを開始するには、「スキャン」>「テストのみ」をクリックします。

    テスト・ステージが開始され、完了するとスキャン結果が表示されます。

    関連トピック: