マルチステップ操作

その他の方法では到達できない可能性があるアプリケーションの特定の部分に到達するために必要なマルチステップ操作を記録および管理します。

ユーザーが品目をカートに追加し、まだ支払いを行っていないオンライン・ショップなど、リンクを特定の順序で クリックすることによってのみ到達できるサイトの部分を探査するには、マルチステップ操作が必要です。以下の 3 つのページについて考えます。
  1. ユーザーがショッピング・カートに 1 つ以上の品物を追加します
  2. ユーザーが支払いと配送方法の詳細を入力します
  3. ユーザーが、この注文が完了した確認を受け取ります
ページ 2 へは、ページ 1 を経由したときにのみ到達できます。ページ 3 へは、ページ 1 に続いてページ 2 を経由したときにのみ到達できます。これがシーケンスです。ページ 2 とページ 3 をテストできるようにするには、AppScan® が各テストの前に HTTP 要求の正しいシーケンスを送信する必要があります。

上記の例では、次のように単一シーケンスを記録できます: ページ 1 > ページ 2 > ページ 3。は、必要に応じてこの順序から必要なサブシーケンスを抽出します。(ページ 2 をテストする際には、ページ 1 の要求が最初に送信されます。ページ 3 をテストする際には、ページ 1、続いてページ 2 が送信されます。)

注: マルチステップ操作の数は 5 個以下、1 つの操作のステップ数は 25 個以下、合計ステップ数は 70 個以下に制限することをお勧めします。
注: マルチステップ操作の構成をマニュアル探査と混同しないようにしてください。また、上記で説明したような場合にのみ使用してください。詳しくは、「AppScan を使用したマニュアル探査」を参照してください。

設定

詳細(D)

シーケンスの記録

クリックして新規シーケンスを記録します。ログインの詳細を構成済みの場合は、下矢印をクリックして詳細を選択できます。詳しくは、ブラウザーを使用した、シーケンスの記録 を参照してください。

インポート

別のスキャンからエクスポートされたシーケンス (SEQ ファイル) をインポートします。

シーケンスのリスト

このスキャンについて記録されたマルチステップ操作をすべてリストします。

シーケンス名

シーケンスのリストで選択されているシーケンスの名前です。それぞれの隣にあるチェック・ボックスは、このスキャンに対してそのシーケンスが有効であるかどうかを示します。

エクスポート

別のスキャンで使用するために、選択したシーケンスを SEQ ファイルとしてエクスポートします。

シーケンスの詳細の表示/編集

 追加機能のための「シーケンスの表示/編集」ダイアログを開きます。

「シーケンスの詳細の表示/編集」ダイアログ

設定

詳細(D)

記録を開始
クリックして新規シーケンスを記録します。ログイン詳細を構成済みの場合は、下矢印をクリックして詳細を選択することができます。
AppScan Chromium ブラウザー (デフォルト)
AppScan は、ログイン不要で組み込みの Chromium ベースのブラウザーを使用して記録します。ブラウザーが開いたら、必要に応じてログインし、マルチステップ・シーケンスを記録できます。
注: このオプションを使用してシーケンスの一部としてログイン要求を記録する場合、受け取ったパラメーターと Cookie は、ログイン要求であっても、また、追跡をログイン値に変更していても、常にダイナミックとして処理されます。
外部ブラウザ
スキャンに外部ブラウザーを使用するように AppScan を構成している場合のみ、これを有効にしてください (「ツール」>「オプション」>「外部ブラウザーの使用」>「ブラウザーの選択」)。可能であれば AppScan Chromium ブラウザーの使用をお勧めします。このブラウザーでは、スキャン中のログインの成功を改善できるその他の情報が記録されます。AppScan ブラウザーによるログイン記録が、ご使用のアプリケーションで作動しない場合のみ、外部ブラウザーを使用してください。

詳しくは、こちらを参照してください: ブラウザーを使用した、シーケンスの記録

「エクスポート」ボタン | 「インポート」ボタン | 「マイナス」ボタン

別のスキャンで使用するためのシーケンス (SEQ ファイル) をエクスポートします

別のスキャンからエクスポートされたシーケンス (SEQ ファイル) をインポートします

選択したシーケンスを現在のスキャンから削除します。

再生方法

 マルチステップ操作を記録する場合、AppScan によりアクションと要求の両方が記録されます。アクションと要求のどちらをスキャンで使用するかを選択できます。
要求ベースの再生
生の HTTP 要求を記録から送信します。一般的に早いのはこちらの方法です。
アクション・ベースの再生
ユーザーのクリックおよびキー・ストロークを再生します。この方法を選択するのは、サイトに大量の JavaScript が含まれている場合や、要求ベースの再生に含まれている要求を検証した際に、その一部に赤色の X でマークが付けられた場合などです。この方法では、スキャン時間が長くなる可能性があります。
要求ベースの再生がデフォルトの方法です。
注: 組み込みのブラウザー以外のブラウザーを使用するようにスキャンが構成されている (「ツール」 > 「オプション」 > 「外部ブラウザーの使用」) 場合は、常に要求ベースの再生が使用されます。
注: アクション・ベースの再生のサポートが行われていなかった AppScan バージョンで記録されたシーケンスをロードする場合、アクション・ベースの再生が選択されていてもそのシーケンスに対しては要求ベースの再生が選択されます。
注: アクション・ベースの再生をマルチステップ操作に選択する場合、ログイン方法としてもアクション・ベースを選択する必要があります。必要に応じて、ログイン手順を再び記録します (ログイン管理を参照)。

シーケンス・リスト

このスキャンについて記録されたすべてのマルチステップ操作をリストします。

シーケンス名 (Sequence Name)

シーケンスのリストで選択されているシーケンスの名前です。それぞれの隣にあるチェック・ボックスは、このスキャンに対してそのシーケンスが有効であるかどうかを示します。

検査
これをクリックして、シーケンスが有効であることを確認します。AppScan はシーケンスを再生します。元の応答とは異なる応答を受け取る要求には赤色の X のマークが付けられ、これらがテストされないことが示されます。
ヒント: 要求が異なる応答を受け取る一般的な理由は、定義を必要とする動的シーケンス変数が存在しているためです。を参照してください。これが問題ではなく、サイトに JavaScript が含まれている場合、アクション・ベースの再生に変更すると、結果が改善される可能性があります。

記録された URL

選択されたシーケンスのリンクまたはアクションを表示します。

検証済み
緑のチェック・マークは、URL が検証済みであることを示します。赤い X が未検証の URL の隣に表示されます。
テスト(T)
この URL を単独でテストするかどうかを示します (マルチステップ操作の一部としてだけでなく)。オプションは、「はい」/「いいえ」です。設定を変更するには、URL を右クリックして「テストする/テストしない」を選択します。「いいえ」を選択した場合でも、URL はマルチステップ操作の一部として再生されます。
シーケンスの再生
(テスト済みの URL のみに適用されます) この URL がテストされるたびにシーケンスの前のステップを再生するかどうかを示します。オプションは、「はい」/「いいえ」です。設定を変更するには、右クリックして「要求テスト前にシーケンスを再生」 > 「はい」/「いいえ」を選択します。
  • シーケンス内の任意のリンクを選択し、ブラウザーのボタンをクリックすることにより、そのリンクを表示します (表示されるダイアログの右上にあるごみ箱アイコンをクリックすることにより、個々の要求を削除できます)。
  • シーケンス内の任意のリンクを選択し、「マイナス」ボタン をクリックすることにより、そのリンクを削除します。その後、「検証」をクリックして、更新されたシーケンスがインセッションのままであることを確認します。

シーケンス再生前にログイン

これを選択すると、マルチステップ操作を再生するときは必ず AppScan が最初にログインします。このオプションは、マルチステップ操作の一部としてログインを記録する場合にはクリアされます。

再生最適化を許可する

(要求ベースの再生のみ) これが選択されている場合 (デフォルト)、AppScan® は、不要な再生を回避することにより、スキャン時間を最適化しようとします。この設定は、再生の最適化が原因で、AppScan® でアプリケーションの一部がなくなったことが検出されない限り、無効にしないでください。は、 これを決定するのに役立ちます。

シングル・スレッド・モードでのテスト

AppScan® は、複数の要求の間でシーケンスの再生が不要な場合、それら複数の要求を同時に送信できます。この結果、アプリケーションの一部がなくなった場合は、このチェック・ボックスを選択してください。

シーケンス変数

シーケンスの記録中に受信した変数をリストし、追跡する必要があると AppScan® が決定した変数を示します。これらはセッション ID または他の変数である可能性があります。このリスト内の変数の状況を変更して、AppScan® がそれらの変数を処理する方法を改善できます (詳しくは、「シーケンス変数」を参照)。

関連トピック:

AppScan を使用したマニュアル探査