Web アプリケーションの自動スキャン・ワークフロー

Web アプリケーションの自動スキャンの簡単なワークフローを説明します。

AppScan は、ご使用の Web アプリケーションを総合的に評価します。無許可アクセスやコード・インジェクションだけでなく、すべてのレベルの標準的なユーザー手法に基づく多数のテストも実行します。

ご使用のアプリケーションに対してスキャンを実行すると、AppScan によってこれらのテストがご使用の Web アプリケーションに送信されます。テストの結果は、AppScan のサイトを認識するスマート・エンジンによって作成され、強化されたレビューと操作で使用できる拡張性のあるレポートおよび推奨される修正も提供されます。

AppScan は対話式ツールです。このツールを使用して、スキャンの構成と結果に対する対応を決定します。

シンプルな Web アプリケーション自動スキャン・ワークフローを示す図。

Web セキュリティー分野での経験がある場合は、上級ユーザー用のワークフローを参照してください。

ワークフローの説明

  1. スキャン構成: サイトの詳細、ご使用の環境、および他の要件を考慮し、「構成」 > 「Web 必需」によってスキャンを構成します。
    1. 開始 URL の入力: スキャンを開始する URL を指定します。
    2. ログインの記録: ログイン・プロセスを取得して、認証されたページがスキャンされるようにします。
    3. (オプション) テスト・ポリシーの確認: Web アプリケーションに基づいてテスト・ポリシーを選択します。

  2. フル・スキャンの開始: フル・スキャンを開始します。

  3. 自動スキャンは、探査とテストの各ステージで構成されています。
    1. 探査のステージ: AppScan は、標準ユーザーとしてリンクにアクセスしてサイトをクロールし、応答を記録します。ご使用のアプリケーションで検出された URL、ディレクトリー、ファイルなどの階層を作成します。このリストは、アプリケーション・ツリー (アプリケーション・ツリーを参照) に、表示されます。
      注: 探査ステージは、自動または手動、あるいはこの両方を組み合わせて実行できます。また、前に記録されたマニュアル探査シーケンスから構成される探査データ・ファイル (マニュアル探査データをエクスポートするを参照) をインポートすることもできます。次に、AppScan は、サイトから収集したデータを分析し、それに基づいてサイトのテストを作成します。これらのテストは、インフラストラクチャーの弱点 (市販のサード・パーティー製品またはインターネット・システムでのセキュリティー上の弱点など) とアプリケーション自体の弱点の両方を明らかにするために設計されています。

    2. テスト・ステージ: テスト・ステージ中に、AppScan は、脆弱性を明らかにし、その重大度を評価するために、探査ステージ中に受信した応答に基づいてアプリケーションをテストします。

      ご使用の AppScan の現行バージョンに組み込まれたすべてのテストの最新のリストは、「スキャン構成」ダイアログ・ボックスで確認できます (テスト・ポリシーと最適化を参照)。

      AppScan で自動的に作成および実行されるテストのほかに、ユーザー定義テストを作成することもできます (ユーザー定義テストを参照)。作成したテストにより、AppScan によって生成されたテストを補完でき、検出された結果を検証できます。

      テスト結果は「結果リスト」に表示され、そこでテスト結果を表示および変更できます。結果の完全な詳細は、 「詳細ペイン」内に表示されます。

  4. スキャン後のアクティビティー:

    1. 結果の確認: スキャン検出結果を分析し、結果の確認に基づき必要に応じて、スキャン構成を調整し、再度スキャンします。

    2. 推奨される修正の確認: 特定された脆弱性に対処するために提案された修正を評価して適用します。
    3. 手動でのリンクの探査: さらなる調査が必要なリンクがあれば、手動でチェックします。
    4. レポートの生成: スキャン結果に基づいて詳細なレポートを作成します。
注: AppScan は、マニュアル探査記録されたトラフィックのインポートの両方を自動スキャン機能とともにサポートし、包括的なセキュリティー評価アプローチを実現します。