よくある質問

このトピックでは、一般的なアプリケーションについての質問を扱います。

Web サービスをスキャンする各種方法

サイトのスキャンは、最初に探査が行われ、次に収集されたデータに基づくテストが行われて実施されます。「探査データ」は、1 つ以上の探査方法を使用して収集することができます。どのケースでも、探査データが収集されると、AppScan を使用してテストが作成され、テスト・ステージ中にサイトに送信されます。
Web アプリケーションの探査 (ユーザー・インターフェースのあるサイト)
  • Web サービスなしのアプリケーション (サイト) の場合は、AppScan がサイトをテストできるようにするために、開始 URL とログイン認証の資格情報を提供するだけで十分なことが多くあります。
  • マニュアル探査: 必要な場合は、特定のユーザー入力によってのみ到達可能な領域にアクセスできるようにするために、AppScan を介して サイトを手動で探査することができます。
  • マルチステップ操作: 特定の順序でページにアクセスすることでのみ到達可能なページの場合、AppScan のマルチステップ操作を記録して使用することができます。
構成ウィザードではいくつかの手順でスキャンを構成して開始できますが、複雑なサイトの場合は、「構成」ダイアログ・ボックスでさらに多くの設定を微調整およびカスタマイズできます。
Web サービスの探査
これを行う方法は 3 つあり、最初の方法が推奨されます。
  1. サービスの探査に使用するデバイス (携帯電話やシミュレーターなど) の記録プロキシーとして AppScan を設定できます。そうすることで、AppScan は収集された探査データを分析し、適切なテストを送信することができます。AppScan を使用して、Web サービス機能テスターなどの外部ツールでトラフィックを記録することもできます。記録プロキシーとして AppScan を使用を参照してください。
  2. Web サービス用の Open API 記述ファイル (JSON または YAML) がある場合、 Web サービス・ウィザードの拡張機能を使用してスキャン、およびサービスの使用に必要なマルチステップ・シーケンスを構成できます。AppScan は、サービスを自動的にスキャンします。
  3. 最初の 2 つの方法を使用できず、Web サービス (SOAP Web サービスなど) 用の WSDL ファイルがある場合、AppScan のインストールには、ユーザーが Web サービスに組み込まれた各種メソッドの表示、入力データの操作、サービスからのフィードバックの確認を行うことができる個別のツールがオプションで組み込まれます。まず、AppScan にサービスの URL を提供する必要があります。組み込まれている「Generic Service Client (GSC)」では、WSDL ファイルを使用して、ツリー形式で個々のメソッドが表示され、要求をサービスに送信するための使いやすい GUI が作成されます。このインターフェースから、パラメーターを入力して結果を確認できます。この処理は、AppScan によって「記録」され、AppScan によるサイトのスキャン時に、サービスに対するテストを作成するために使用されます。GSC は REST 要求のクライアントとしても使用できます (WSDL ファイルの解析なしの、単純な HTTP クライアントとして)。GSC の使用を参照してください。
外部クライアントまたはデバイス
上記両方のケースで、携帯電話などの外部デバイスを使用してサイトを探査する必要がある場合、AppScan をプロキシーとしてセットアップしてアクションを実行し、データに基づいてサイトをテストすることができます。

マニュアル探査とマルチステップ操作の差異

マニュアル探査

マニュアル探査は、AppScan がサイトをテストするときに自動探査ステージが行われていない可能性があるアプリケーションまたはサービスの一部が確実にカバーされるようにするために、ユーザーがサイトを探査して AppScanが使用できるデータを収集する場合に行います。これは、特定のユーザー入力が必要である、またはサイトが別のタイプのツールやデバイスに対してのみ応答するなどの理由で行われます。マニュアル探査は、AppScan を使用するか、AppScan を記録プロキシーとして使用するか、あるいは Generic Service Client (GSC) を使用して行うことができます。

マニュアル探査を参照してください。

マルチステップ操作
ユーザーが品目をカートに追加し、まだ支払いを行っていないオンライン・ショップなど、リンクを特定の順序で クリックすることによってのみ到達できるサイトの部分を探査するには、マルチステップ操作が必要です。以下の 3 つのページについて考えます。
  1. ユーザーがショッピング・カートに 1 つ以上の品物を追加します
  2. ユーザーが支払いと配送方法の詳細を入力します
  3. ユーザーが、この注文が完了した確認を受け取ります
ページ 2 へは、ページ 1 を経由したときのみ到達できます。ページ 3 へは、ページ 1 に続いてページ 2 を経由したときのみ到達できます。 これがシーケンスです。ページ 2 とページ 3 をテストできるようにするには、AppScan® が各テストの前に HTTP 要求の正しいシーケンスを送信する必要があります。

「マルチステップ操作」ビューを参照してください。

アクション・ベースの再生と要求ベースの再生の差異

ログイン操作やマルチステップ操作で使用するために手順を記録する場合、以下の 2 つの再生方法が使用可能です。
要求ベースの再生
生の HTTP 要求を記録から送信します。一般的に早いのはこちらの方法です。
アクション・ベースの再生
ユーザーのクリックおよびキー・ストロークを再生します。この方法を選択するのは、サイトに大量の JavaScript が含まれている場合や、要求ベースの再生に含まれている要求を検証した際に、その一部に赤色の X でマークが付けられた場合などです。この方法では、スキャン時間が長くなる可能性があります。

「構成」 > 「探査」 > 「」、および「構成」 > 「」を参照してください。レビューと検証タブ 「マルチステップ操作」ビュー