パラメーター

「パラメーター」とは、1 つ以上のパラメーターを含む要求のことです。

「結果リスト」には、探査ステージ中に検出されたパラメーターがすべて表示されます。このリストの URL は、悪意のあるアタックに対して脆弱である可能性が最も高い URL です。このリストは、一連の有用なテスト要求をスキャンが生成したかどうかを評価する際に非常に重要となります。

AppScan は、「スクリプト・パラメーター」リストのパラメーターごとに、名前、タイプ、値、URL (結果ペイン) と値 (詳細ペイン)、追跡されるかどうかを表示します。同じパラメーター名が複数回リストされることがありますが、URL が異なるか、同じ URL でも値が異なる場合です。

以下の表は、リスト内の項目を右クリックして選択可能なオプションを示しています。

1. 右クリック・オプション

オプション

機能

URL をコピー

選択した URL をクリップボードにコピーします。

「パラメーターおよび Cookie」タブのリストに追加

右クリックして「パラメーターおよび Cookie に追加」リストを選択することで、選択したパラメーター名 (すべての値) を「構成」ダイアログ・ボックス内のリストに追加します。AppScan によるこのパラメーターの処理方法を構成するために「パラメーター定義」ダイアログ・ボックスが開きます。

スキャンから、このパスとパラメーター値の組み合わせを除外する

特定のパラメーター値を、特定の URL で発生した場合にスキャンから除外します。このオプションを選択すると、関連データが指定された状態で「除外または例外を編集」ダイアログ・ボックスが開きます。

次の URL のサイトを検討します。http://site/command および「action」という名前のポスト・パラメーター。この値はサーバーから以下のようにそれぞれ異なる応答をトリガーします。
  • action=login は、ログイン・ページにリダイレクトします。
  • action=logout は、セッションの期限が切れます。
  • action=clean は、サーバーがユーザー・データを削除します。

AppScan がこのサイトをスキャンできるようにするためには、action=logout のときには http://site/command を、もしくは action=login またはその他の値ではないときに clean を除外する必要があります。パラメーター名 action と値 logout または clean を持つ http://site/command を除外するこの機能を使用して、除外を実行できます。

詳しくは、新規除外または新規例外の追加を参照してください。

選択したパラメーターをテストしない

1 つ以上のパラメーター名 (すべての値) をスキャンのテスト・ステージから除外します。この設定は、指定したパラメーターのすべての値に適用されます。これは、探査ステージには影響しません。

「構成」ダイアログ・ボックスの「パラメーターおよび Cookie」ビュー内のリストにパラメーター名が追加され、その「テスト除外」値が「はい」に設定されます。

詳しくは、「パラメーターおよび Cookie」ビューを参照してください。