シーケンスの検証

マルチステップ操作のテストの一部として、AppScan はシーケンスの各ステップを個別にテストします。例えば、5 ステップのシーケンスをテストする場合、ステップ 1、2、3、4 および 5 を個別にテストします。

(例えば) ステップ 3 をテストする場合、正しい状態のステップ 3 に到達するために、ステップ 1 および 2 を先に再生してから、ステップ 3 をテストします。

ステップ 3 での攻撃の成功が、シーケンスでの後続のステップ (ステップ 5 など) まで、サイト応答内で明らかにならない可能性がある場合があります。例えば、悪意のあるユーザーが、ステップ 5 でサイトが完了したシーケンスに応答する場合にのみ返されるペイロードをステップ 3 で入力する可能性があります。

このような場合には、ステップ 3 をテストするときにステップ 4 および 5 への応答も検証できるように、AppScan を構成できます。

この検証は、クロスサイト・スクリプティング、SQL 注入、コマンド挿入およびパス・トラバーサルのような特定のタイプの問題向けです。検証される追加のステップの番号 (テストしているステップの後) は、「スキャン構成」>「詳細構成」>「テスト: マルチステップ操作: 検証の制限」で構成できます。