ホーム
ツール
このセクションでは、HCL AppScan Standard が提供する追加ツールの使用法を説明します。
パワー・ツール
AppScan は 5 つのユーティリティー (パワー・ツール) にアクセスします。各パワー・ツールは、アプリケーションのセキュリティーを管理したり、 AppScan を使用する際に役立つ特定の機能を提供します。
Authentication Tester
Authentication Tester パワー・ツールは、「ブルート・フォース」技法を使用して、Web アプリケーションへのアクセス権を取得するために使用される可能性のあるユーザー名とパスワードの脆弱な組み合わせを見つけるテスト・ユーティリティーです。(ブルート・フォース攻撃は、認証資格情報の推測に使用される自動化された試行錯誤プロセスで、不正ユーザーを正当なユーザーとしてサーバーに認識させる原因になります。)
拡張構成
「フォーム認証」タブ

ツール
このセクションでは、HCL AppScan Standard が提供する追加ツールの使用法を説明します。
- 「オプション」ダイアログ・ボックス
  このセクションでは、AppScan をカスタマイズするために、「オプション」ダイアログ・ボックス (「ツール」>「オプション」) から制御できるオプションについて説明します。
- Web サービス・ウィザード拡張
  この拡張機能では、Open API 記述ファイルを使用してスキャンできます。この拡張機能は「ツール」 > 「エクステンション」 > 「Web サービス・ウィザード (オープン API)」から利用でき、デフォルトで有効になっています。
- スキャン・スケジューラー
- ユーザー定義テスト
- パワー・ツール
  AppScan は 5 つのユーティリティー (パワー・ツール) にアクセスします。各パワー・ツールは、アプリケーションのセキュリティーを管理したり、 AppScan を使用する際に役立つ特定の機能を提供します。
  - Authentication Tester
    Authentication Tester パワー・ツールは、「ブルート・フォース」技法を使用して、Web アプリケーションへのアクセス権を取得するために使用される可能性のあるユーザー名とパスワードの脆弱な組み合わせを見つけるテスト・ユーティリティーです。(ブルート・フォース攻撃は、認証資格情報の推測に使用される自動化された試行錯誤プロセスで、不正ユーザーを正当なユーザーとしてサーバーに認識させる原因になります。)
  - 接続テスト
    この接続テストパワー・ツールを使用すると、多くのファイアウォールでブロックされてしまう Ping プロトコルを使用せずに Web サイトを ping することができます。
  - Encode/Decode
    Encode/Decode PowerTool は指定されたストリングに、指定されたフォーマットのエンコードおよびデコードを行います。
  - Expression Test
    正確な正規表現を記述することは面倒な試行錯誤のプロセスです。この Expression Test パワー・ツールを使用すると、プロセスを加速させることができます。
  - HTTP Request Editor
    HTTP Request Editor パワー・ツールによって、十分に制御された HTTP 要求をサイトに送信できるため、さまざまな種類の HTTP 要求にサイトがどのように応答するかをテストできます。
- 「ツール」メニューのカスタマイズ
- 拡張
- ログ
  ログは、トラブルシューティングに役立ちます。
- 検索結果
  すべてのビューで特定のデータについて「結果リスト」をフィルタリングすることができます。

「フォーム認証」タブ

このタブには、受け入れられたユーザー名およびパスワードに応答して送信されるページを記述するために入力する、正常なログインの正規表現が保持されます。(ここに入力する情報は、フォーム認証をテストする場合にのみ適用されます。)


オプション	説明
正常なログインの検出
正常な応答	これを選択すると、現在構成されている正常な応答が下のペインに表示されます。
エラー応答	これを選択すると、現在構成されているエラー応答が下のペインに表示されます。
追加/削除	応答をリストに追加するには、アプリケーションのログイン応答の記述を参照してください。また、正規表現の記述について詳しくは、メタキャラクターについてを参照してください。
デフォルトの偽の証明書
ユーザー名/パスワード	これらのフィールドは、フォーム認証を構成するためのログイン要求を作成するときに入力を求められるストリングを表します (フォーム認証を参照)。これらはサイトへの実際のログインには使用されないため、有効な資格情報でなくても構いません。これらは単に、ログイン要求での資格情報の場所を Authentication Tester に識別させるために使用されます (ログイン要求はサイトのブルート・フォース・テストに使用します)。デフォルト値は `BruteUsername` および `BrutePassword` です。クライアント側のロジックによって、サイトへのログイン要求でこれらの値が使用できない場合 (例えば、アプリケーションではユーザー名に E メールを使用する必要があり、ログイン要求を作成するときにクライアント側のロジックでこの規則が強制適用される場合)、これらの値を有効なフォーマットに変更してください。デフォルトの偽の証明書を変更するときは、一方の値が他方の値のサブストリングとならないようにしてください。例えば、ユーザー名に user@email.com と入力した場合、パスワードに user は使用できません。