初期構成

このタスクについて

手動か自動かを問わず、サイトの探査を開始する前に、以下の基本構成ステップを実行してください。

手順

スキャンの開始 URL を定義して確認します。
1. 「ファイル」>「新規」をクリックし、ウィザードを使用して新規 Web アプリケーション・スキャンを作成します (または、構成ダイアログ・ボックスを使用して、「スキャン構成」>「URL およびサーバー」ビューで構成します)。
2. スキャンの開始 URL を入力します。
3. アプリケーションが大文字と小文字を区別する場合は、「大文字と小文字を区別するパス」チェック・ボックスが選択されていることを確認します。
  一般的に、Linux ベースのオペレーティング・システムで実行されるアプリケーションは大文字と小文字を区別する傾向にありますが、Microsoft Windows で実行されるアプリケーションは大文字と小文字を区別しません。Java ベースのアプリケーションは例外で、どのオペレーティング・システムでも大文字と小文字を区別する傾向にあります。
4. 「URL」フィールドの隣にある「ブラウザーで表示」アイコンをクリックして、必要なページが AppScan ブラウザーに表示されることを確認します。
ログイン手順を記録します。これにより、スキャンを開始するため、およびスキャン中にログアウトされるたびに、AppScan がアプリケーションにログインできるようになります。
1. ウィザードのステップ 2 で (または「スキャン構成」>「ログイン管理」ビューで)、をクリックして、アクションの記録を開始します。ブラウザーが開き、上記で定義した開始 URL が表示されます。
2. アプリケーションにログインするためにユーザーが実行する必要があるすべてのステップを実行します。
3. ページ上で、ログインしたユーザーにのみ表示される「ようこそ [ユーザー名]」や「ログアウト」リンクなど、正常にログインしたことを確認できる表示を探します。
4. ブラウザーを閉じて緑色の鍵アイコンを探し、セッション内パターンが特定されたことを確認します。
  赤いアイコンが表示されている場合、セッション内パターンは検出されていないため、手動で定義する必要があります (「検出パターンの選択」ダイアログ・ボックスを参照)。
  注: 一般に、応答にセッション内パターンが含まれる最初の URL は「セッション内 URL」であり、これは自動的に選択されている URL ですが、状況によっては、後で URL を選択することでパフォーマンスが向上する場合があります (セッション内検出の最適化を参照してください)。
セッション内パターンを確認します。セッション内パターンは、ログインの成功後にユーザーに表示される、ページ上のパターンまたはストリング (「ようこそ [ユーザー名]」や「ログアウト」リンクなど) に一致する正規表現です。緑のアイコンが表示されている場合でも、このパターンを確認してください。
1. ウィザードのステップ 2 で「セッション内検出オプションを構成します」を選択してから、「次へ」をクリックします (または「スキャン構成」>「ログイン管理」>「詳細」ビューに移動します)。
  ログイン手順が表示されます。
2. 「セッション内」とマークが付けられたページ上をダブルクリックして、ブラウザーで開きます。
3. ブラウザーで「要求/応答」タブをクリックしてソース・コードを表示し、選択されたパターンが実際にセッション内状態を示していることを確認します。
  注: ページ・コンテンツが JavaScript または CSS の場合は、どのような場合でもセッション内ページとして適切ではないため、別のページを選択する必要があります。
緑の鍵アイコンが表示されているが、選択されたパターンがセッション内パターンではない 場合は、要求ベースのログインのトラブルシューティングを参照してください。
ロックアウト構成を設定します。テスト・ステージで、AppScan は多数の無効なログイン試行を行います。無効なパスワードが一定回数入力されるとユーザーをロックアウトするアカウント・ロックアウト機能をサイトが備えている場合、AppScan はロックアウトされ、スキャンを完了できなくなります。
- アカウント・ロックアウトを無効にします。無効にするのが難しい場合は、以下の処理を行います。
- ログイン・ページとログアウト・ページをテストしないように AppScan を構成します (「スキャン構成」>「テスト・オプション」で、「ログイン・ページとログアウト・ページに関するテストを送信する」を選択解除します)。