ホーム
ツール
このセクションでは、HCL AppScan Standard が提供する追加ツールの使用法を説明します。
パワー・ツール
AppScan は 5 つのユーティリティー (パワー・ツール) にアクセスします。各パワー・ツールは、アプリケーションのセキュリティーを管理したり、 AppScan を使用する際に役立つ特定の機能を提供します。
Authentication Tester
Authentication Tester パワー・ツールは、「ブルート・フォース」技法を使用して、Web アプリケーションへのアクセス権を取得するために使用される可能性のあるユーザー名とパスワードの脆弱な組み合わせを見つけるテスト・ユーティリティーです。(ブルート・フォース攻撃は、認証資格情報の推測に使用される自動化された試行錯誤プロセスで、不正ユーザーを正当なユーザーとしてサーバーに認識させる原因になります。)
認証方式

ツール
このセクションでは、HCL AppScan Standard が提供する追加ツールの使用法を説明します。
- 「オプション」ダイアログ・ボックス
  このセクションでは、AppScan をカスタマイズするために、「オプション」ダイアログ・ボックス (「ツール」>「オプション」) から制御できるオプションについて説明します。
- Web サービス・ウィザード拡張
  この拡張機能では、Open API 記述ファイルを使用してスキャンできます。この拡張機能は「ツール」 > 「エクステンション」 > 「Web サービス・ウィザード (オープン API)」から利用でき、デフォルトで有効になっています。
- スキャン・スケジューラー
- ユーザー定義テスト
- パワー・ツール
  AppScan は 5 つのユーティリティー (パワー・ツール) にアクセスします。各パワー・ツールは、アプリケーションのセキュリティーを管理したり、 AppScan を使用する際に役立つ特定の機能を提供します。
  - Authentication Tester
    Authentication Tester パワー・ツールは、「ブルート・フォース」技法を使用して、Web アプリケーションへのアクセス権を取得するために使用される可能性のあるユーザー名とパスワードの脆弱な組み合わせを見つけるテスト・ユーティリティーです。(ブルート・フォース攻撃は、認証資格情報の推測に使用される自動化された試行錯誤プロセスで、不正ユーザーを正当なユーザーとしてサーバーに認識させる原因になります。)
  - 接続テスト
    この接続テストパワー・ツールを使用すると、多くのファイアウォールでブロックされてしまう Ping プロトコルを使用せずに Web サイトを ping することができます。
  - Encode/Decode
    Encode/Decode PowerTool は指定されたストリングに、指定されたフォーマットのエンコードおよびデコードを行います。
  - Expression Test
    正確な正規表現を記述することは面倒な試行錯誤のプロセスです。この Expression Test パワー・ツールを使用すると、プロセスを加速させることができます。
  - HTTP Request Editor
    HTTP Request Editor パワー・ツールによって、十分に制御された HTTP 要求をサイトに送信できるため、さまざまな種類の HTTP 要求にサイトがどのように応答するかをテストできます。
- 「ツール」メニューのカスタマイズ
- 拡張
- ログ
  ログは、トラブルシューティングに役立ちます。
- 検索結果
  すべてのビューで特定のデータについて「結果リスト」をフィルタリングすることができます。

認証方式

Authentication Tester のメインウィンドウでは、Web アプリケーションで使用する認証方式を選択します。オプションは以下のとおりです。

フォーム認証: (認証はカスタムの Web ページによって実行されます。)
フォーム認証
HTTP 認証: (認証はプロトコルで定義されます。)
HTTP 認証

選択した方式によって、利用可能なスキャン・オプションが変わります。

注: アプリケーションで両方のタイプの認証を使用する (つまり、通常は HTTP 認証を使用し、特定の管理者向けページではフォーム認証を使用する) 場合、HTTP 認証用の実際のユーザー名およびパスワードを Authentication Tester に提示して、該当するページでフォーム認証をテストできるようにしておく必要があります。(詳しくは HTTP 認証よりフォーム認証を優先を参照してください。)