ホーム
ツール
このセクションでは、HCL AppScan Standard が提供する追加ツールの使用法を説明します。
パワー・ツール
AppScan は 5 つのユーティリティー (パワー・ツール) にアクセスします。各パワー・ツールは、アプリケーションのセキュリティーを管理したり、 AppScan を使用する際に役立つ特定の機能を提供します。
Authentication Tester
Authentication Tester パワー・ツールは、「ブルート・フォース」技法を使用して、Web アプリケーションへのアクセス権を取得するために使用される可能性のあるユーザー名とパスワードの脆弱な組み合わせを見つけるテスト・ユーティリティーです。(ブルート・フォース攻撃は、認証資格情報の推測に使用される自動化された試行錯誤プロセスで、不正ユーザーを正当なユーザーとしてサーバーに認識させる原因になります。)
フォーム認証
標準ログインの提示

ツール
このセクションでは、HCL AppScan Standard が提供する追加ツールの使用法を説明します。
- 「オプション」ダイアログ・ボックス
  このセクションでは、AppScan をカスタマイズするために、「オプション」ダイアログ・ボックス (「ツール」>「オプション」) から制御できるオプションについて説明します。
- Web サービス・ウィザード拡張
  この拡張機能では、Open API 記述ファイルを使用してスキャンできます。この拡張機能は「ツール」 > 「エクステンション」 > 「Web サービス・ウィザード (オープン API)」から利用でき、デフォルトで有効になっています。
- スキャン・スケジューラー
- ユーザー定義テスト
- パワー・ツール
  AppScan は 5 つのユーティリティー (パワー・ツール) にアクセスします。各パワー・ツールは、アプリケーションのセキュリティーを管理したり、 AppScan を使用する際に役立つ特定の機能を提供します。
  - Authentication Tester
    Authentication Tester パワー・ツールは、「ブルート・フォース」技法を使用して、Web アプリケーションへのアクセス権を取得するために使用される可能性のあるユーザー名とパスワードの脆弱な組み合わせを見つけるテスト・ユーティリティーです。(ブルート・フォース攻撃は、認証資格情報の推測に使用される自動化された試行錯誤プロセスで、不正ユーザーを正当なユーザーとしてサーバーに認識させる原因になります。)
  - 接続テスト
    この接続テストパワー・ツールを使用すると、多くのファイアウォールでブロックされてしまう Ping プロトコルを使用せずに Web サイトを ping することができます。
  - Encode/Decode
    Encode/Decode PowerTool は指定されたストリングに、指定されたフォーマットのエンコードおよびデコードを行います。
  - Expression Test
    正確な正規表現を記述することは面倒な試行錯誤のプロセスです。この Expression Test パワー・ツールを使用すると、プロセスを加速させることができます。
  - HTTP Request Editor
    HTTP Request Editor パワー・ツールによって、十分に制御された HTTP 要求をサイトに送信できるため、さまざまな種類の HTTP 要求にサイトがどのように応答するかをテストできます。
- 「ツール」メニューのカスタマイズ
- 拡張
- ログ
  ログは、トラブルシューティングに役立ちます。
- 検索結果
  すべてのビューで特定のデータについて「結果リスト」をフィルタリングすることができます。

標準ログインの提示

このタスクについて

メインウィンドウの「認証方式」セクションで「フォーム認証」を選択した場合、「設定」ボタンが表示されます。これを使用して、Authentication Tester に正しいログイン手順を構成します。

手順

「設定」をクリックします。

The Authentication Tester browser opens.
Web アプリケーションのログイン・ページまでブラウズします。
次の資格情報を使用してログイン手順を実行します (ブラウザー・ウィンドウの上部にある資格情報をカット・アンド・ペーストできます)。

ユーザー名:

BruteUsername

パスワード:

BrutePassword

Authentication Tester では、これらの値を使用してサイトへのログイン手順をモデル化する必要があります。テスト段階において、Authentication Tester が「ブルート・フォース」技法によってサイトにアクセスしようとすると、これらのストリングは候補となるユーザー名とパスワードの組み合わせで置換されます。ログイン手順を完成しても、Authentication Tester はこれらの資格情報を使用して実際にログインを試行するのではなく、単にログイン要求を検査するにすぎません。
注意: 「BruteUsername」および「BrutePassword」というストリングがクライアント側の検査で許可されない場合、Authentication Tester で検査するログイン要求は全く作成されません。このような場合、ユーザー名およびパスワードのプレースホルダーにあるストリング値を変更する必要があります。『「フォーム認証」タブ』を参照してください。
ログイン・プロセスが完了すると、Authentication Tester はログイン要求の「取り込み」を行い、確認メッセージが表示されます。
確認メッセージの「OK」をクリックします。

ブラウザーが閉じて、「正常なログインの検出」ウィンドウが開きます。これはログイン応答の記述に使用されます。アプリケーションのログイン応答の記述を参照してください。