ワンタイム・パスワード (OTP)

ログイン時に OTP (一種の多要素認証または MFA) を使用するように AppScan® を構成します。

アプリケーションで OTP を使用する場合は、2 つのオプションのいずれかを選択します。それ以外の場合は、デフォルト設定のままにします。なし。

ログイン手順を記録すると、AppScan はトラフィックから関連パラメーターを抽出し、それらを OTP HTTP パラメーター・リストに追加します。また、「フォームの自動入力」ビューの OTP 項目にも追加されます。AppScan がパラメーターの識別に失敗した場合は、このビューまたは「フォームの自動入力」ビューで、パラメーターをユーザー自身で追加する必要があります。
Limitations:
  • スキャンごとにサポートされる OTP タイプ (TOTP または URL 生成) は 1 つのみです。
  • TOTP の場合、数値のみサポートされます。
  • OTP は、Chromium ブラウザーを使用してログインを記録する場合にのみサポートされます。Internet Explorer を使用する場合はサポートされません。
  • OTP が構成されている場合は、「ログイン再生」で選択されたログイン再生方法がアクション・ベースである必要があります。OTP は、要求ベースのログインでは機能しません。
短いビデオ・デモを表示するには、下のアイコンをクリックします。
オプション 説明

TOTP
時間ベースのワンタイム・パスワードの場合は、AppScan に以下の情報を提供する必要があります。
  • 秘密鍵
  • OTP の長さ (桁数)
  • 使用するハッシュ・アルゴリズム (ドロップダウンから選択)
  • 時間ステップ (秒)
ヒント: AppScan マシンとテスト済みサーバーの両方の時間が正確である必要があります。

URL 生成された OTP
指定された URL から OTP にアクセスできる場合、URL の応答から抽出するよう AppScan を構成できます。AppScan には、以下の情報を提供する必要があります。
  • URL
  • URL の応答で OTP を識別する正規表現

なし

OTP はサイトで使用されていないか、OTP を必要としないページをスキャンしています。
詳細

OTP HTTP - パラメーター

OTP タイプの 1 つを選択した場合、記録されたログイン手順を記録および検証すると、AppScan® はトラフィックから OTP 名またはエレメント ID を識別し、それを「フォームの自動入力」リストに追加します。そのパラメーターは、ここにも表示されます。

AppScan® がパラメーターの識別に失敗した場合、または自動ログインを使用する場合は、ユーザー自身でパラメーターをここに追加する必要があります。複数ある場合は、コンマで区切る必要があります。詳細については、以下のセクションを参照してください。

OTP HTTP パラメーターの識別方法

AppScan は、アプリケーションにログインできるようにするために、OTP を含むパラメーターの名前を知っている必要があり、通常は記録されたログイン手順を検証するときにそれを識別します。これが失敗した場合、または自動ログインを使用する場合は、ユーザー自身でパラメーターを追加する必要があります。

パラメーターを識別するには、以下のようにします。
  1. ブラウザーを開き、アプリケーションのログイン・ページに移動します。
  2. F12 をクリックして、ブラウザーの開発者ツール・ペインを開きます (メイン・ブラウザー・ペインの右側または下に開きます)。
  3. 「エレメント」タブをクリックして、HTML コードを表示します。

    コードの一部を選択すると、メイン・ブラウザー・ペインでエレメントが強調表示されます。

  4. OTP フィールドを強調表示するエレメントを見つけます。
    例:
    <input type="text" name="OTPvalue" value="">
  5. name パラメーターの値 (引用符なし) が、必要な OTP HTTP パラメーターです。
    例:
    OTPvalue
  6. 複数の OTP HTTP パラメーターがある場合は、コンマで区切ります。