ホーム
構成
ご使用のアプリケーションと希望するテストの種類に最も当てはまる設定を選択して、スキャンを構成します。
ビュー
API
Web API をスキャンするには、API タイプ (カスタム・パラメーターがより適切に構成され、範囲が改善されます)、探査方法、およびテストされるドメインを定義します。

構成
ご使用のアプリケーションと希望するテストの種類に最も当てはまる設定を選択して、スキャンを構成します。
- プリセット
  プリセットでは、特定のタイプのスキャンに必要なメイン構成ビューが提供されます。
- ビュー
  - 開始 URL とドメイン
    スキャンの開始 URL、および含める必要のある追加のサーバーとドメインを構成します。
  - API
    Web API をスキャンするには、API タイプ (カスタム・パラメーターがより適切に構成され、範囲が改善されます)、探査方法、およびテストされるドメインを定義します。
    - SSL 証明書
      サーバーが HTTPS を使用している場合は、AppScan SSL ルート証明書を追加する必要があります (それにより、AppScan をプロキシーとして使用して送信された要求が受け入れられます)。
  - 除外するパスおよびファイル
    アプリケーションの特定のパスや、特定タイプのファイルを無視するように AppScan を構成することができます。
  - マルチステップ操作
    その他の方法では到達できない可能性があるアプリケーションの特定の部分に到達するために必要なマルチステップ操作を記録および管理します。
  - ログイン管理
    AppScan® にアプリケーションへのログイン方法を示します。
  - ワンタイム・パスワード (OTP)
    ログイン時に OTP (一種の多要素認証または MFA) を使用するように AppScan® を構成します。
  - HTTP 認証
    サーバー側の認証およびクライアント側の証明書の追加 (アプリケーションで必要とされる場合)
  - AWS 認証
    AWS 設定を構成します。
  - 通信およびプロキシー
    通信タイムアウトおよびプロキシー・サーバー設定の構成
  - パラメーター、Cookie、およびヘッダー
    スキャンから除外するセッション ID およびリスト・パラメーターを識別します。
  - フォームの自動入力
    スキャン中にアプリケーションにフォームを入力するために有効なパラメーター値を AppScan® へ指定します。
  - エラー・ページ
    ストリング、正規表現、URL を追加して、アプリケーションのカスタム・エラー・ページを識別します。
  - 探査オプション
    AppScan がアプリケーションの探査に使用する探査方法 (アクション・ベース、要求ベース、またはその両方) と、その他の基本的な探査設定と詳細な探査設定を定義します。
  - テスト・ポリシーと最適化
    テスト中にアプリケーションに送信されるテストのコレクションを定義します (テスト・ポリシー)。また、詳細なスキャンよりも迅速なスキャンを優先する場合に、製品のライフサイクルでスキャンを高速化するための最適化を適用します。
  - 環境定義
    環境定義は必須ではありませんが、AppScan® でスキャン中に関連性のないテストを送信することを安全に抑制できるようになります。その結果、スキャンをさらに高速かつ正確に実施できます。CVSS 3.1 環境スコアをカスタマイズすると、スキャン結果の精度が向上します。
  - テスト・オプション
    追加のテスト・オプション。
  - 特権エスカレーション
    異なるユーザー権限を使用したスキャンを比較して、特権リソースに非特権ユーザーがアクセスできるかどうかを確認します。
  - コンテンツ・ベースのビュー
    URL ベースのツリーが、単に 1 つまたは 2 つの URL の下の長いリストになる場合に、アプリケーション・ツリーの論理構造を定義できます。これは必須ではありませんが、結果に移動しやすくなります。
  - 拡張構成
    このビューを使用すると、多くの詳細なレジストリー設定にアクセスできます。このビューは、経験のある AppScan ユーザーのみ、または問題をトラブルシューティングするためにサポート・チームから指示された場合にのみ使用してください。
- Postman コレクションを使用したスキャン
  Web API への要求の Postman コレクションがある場合は、それをインポートして、スキャンの基礎として使用できます。
- 増分スキャン・ウィザード
  このウィザードのステップをリストします。
- SCAN ファイルの構造
  AppScan Standard SCAN ファイルの基本的な構造について説明します。
- スキャン・テンプレート
  スキャン・テンプレートとは、再使用できるように保存された単なるスキャン構成です。
- スキャン中の構成の変更

API

Web API をスキャンするには、API タイプ (カスタム・パラメーターがより適切に構成され、範囲が改善されます)、探査方法、およびテストされるドメインを定義します。

「構成」 > 「API」を使用して、Web API のスキャンを構成します。

API タイプを選択します。
- オープン API:
  1. 可能な場合は、記述ファイルを追加して、AppScan がパス・パラメーターを識別できるようにします。
  2. 「記述ファイルの検証」をクリックすると、AppScan がファイルが有効であることを確認します。
- GraphQL
- その他
探査方法: Postman コレクションがある場合
- Postman コレクション・ファイルがある場合は、ファイルを選択して検証します。
  注: 構成に Postman コレクションを追加すると、そのコレクションをテンプレートに含めることができなくなるため、そのコレクションを SCANT (テンプレート) ファイルとしてエクスポートすることはできません。そのコレクションを削除するか、SCAN ファイルとして保存する必要があります。
- それ以外の場合は、マニュアル探査を使用するか、探査データをインポートすることができます。
スキャンする Postman コレクションから、少なくとも 1 つのドメインを追加する必要があります。

「ログイン」や「テスト・ポリシーと最適化」などの追加設定を構成した場合は、フル・スキャンまたは探査のみを実行できます。