ホーム
構成
ご使用のアプリケーションと希望するテストの種類に最も当てはまる設定を選択して、スキャンを構成します。
ビュー
除外されるパスおよびファイル
アプリケーションの特定のパスや、特定タイプのファイルを無視するように AppScan を構成できます。

ようこそ
HCL AppScan Standard バージョン 10.6.0 のドキュメントへようこそ。
はじめに
このセクションでは、ウィザードを使用したスキャンのセットアップを含む、基本的な製品の機能および手順について簡単に紹介します。
構成
ご使用のアプリケーションと希望するテストの種類に最も当てはまる設定を選択して、スキャンを構成します。
- プリセット
  プリセットでは、特定のタイプのスキャンに必要なメイン構成ビューが提供されます。
- ビュー
  - 開始 URL およびドメイン
    スキャンの開始 URL、および含める必要のある追加のサーバーとドメインを構成します。
  - API
    Web API をスキャンするには、API タイプを定義して、方法を探査し、テスト対象のドメインを指定します。
  - 除外されるパスおよびファイル
    アプリケーションの特定のパスや、特定タイプのファイルを無視するように AppScan を構成できます。
    - パスの除外
      スキャンからアプリケーション内の特定のパスを除外します。
    - 特定のフォルダーへのスキャンの制限
      除外および例外を使用して、スキャンの範囲を制限します。
    - ファイルの除外
      特定のタイプのファイルをスキャンから除外します。
  - マルチステップ操作
    その他の方法では到達できない可能性があるアプリケーションの特定の部分に到達するために必要なマルチステップ操作を記録および管理します。
  - ログイン管理
    AppScan® にアプリケーションへのログイン方法を示します。
  - API キー
    AppScan Standard は、API キーを必要とする API スキャン用の API 認証をサポートします。
  - 多要素認証（MFA）
    ワンタイム・パスワードまたはセキュリティーの質問 (多要素認証) を使用するように、AppScan® を構成します。
  - HTTP 認証
    サーバー側の認証およびクライアント側の証明書の追加 (アプリケーションで必要とされる場合)
  - AWS 認証
    AWS 設定を構成します。
  - 通信およびプロキシー
    通信タイムアウトおよびプロキシー・サーバー設定の構成
  - パラメーター、Cookie、およびヘッダー
    スキャンから除外するセッション ID およびリスト・パラメーターを識別します。
  - 自動フォーム入力
    スキャン中にアプリケーションにフォームを入力するために有効なパラメーター値を AppScan® へ指定します。
  - エラー・ページ
    AppScan® が応答内容、パス (またはその両方) 内でエラー・ページを認識できるようにするストリングまたは正規表現を追加することで、アプリケーションのエラー・ページの識別機能を強化します。これにより、AppScan がエラー・ページを効果的に認識して処理できるようになり、セキュリティ・スキャンの全体的な精度が向上します。
  - 探査オプション
    AppScan がアプリケーションの探査に使用する探査方法 (アクション・ベース、要求ベース、またはその両方) と、その他の基本的な探査設定と詳細な探査設定を定義します。
  - テスト・ポリシーと最適化
    テスト中にアプリケーションに送信されるテストのコレクションを定義します (テスト・ポリシー)。また、詳細なスキャンよりも迅速なスキャンを優先する場合に、製品のライフサイクルでスキャンを高速化するための最適化を適用します。
  - 環境定義
    環境定義は必須ではありませんが、AppScan® でスキャン中に関連性のないテストを送信することを安全に抑制できるようになります。その結果、スキャンをさらに高速かつ正確に実施できます。CVSS 3.1 環境スコアをカスタマイズすると、スキャン結果の精度が向上します。
  - テスト・オプション
    追加のテスト・オプション。
  - 特権エスカレーション
    異なるユーザー権限を使用したスキャンを比較して、特権リソースに非特権ユーザーがアクセスできるかどうかを確認します。
  - コンテンツ・ベースのビュー
    URL ベースのツリーが、単に 1 つまたは 2 つの URL の下の長いリストになる場合に、アプリケーション・ツリーの論理構造を定義できます。これは必須ではありませんが、結果に移動しやすくなります。
  - 詳細構成
    このビューを使用すると、数多くの詳細なレジストリー設定にアクセスできます。このビューは、経験のある AppScan ユーザーのみ、または問題をトラブルシューティングするためにサポート・チームから指示された場合にのみ使用してください。
- SCAN ファイルの構造
  AppScan Standard SCAN ファイルの基本的な構造について説明します。
- スキャン・テンプレート
  スキャン・テンプレートとは、再使用できるように保存された単なるスキャン構成です。
- スキャン中の構成の変更
マニュアル探査
マニュアル探査を使用すると、実行中にフィールドおよびフォームを入力しながらアプリケーションの特定の部分を探査することができます。この方法を使用することで、サイトの特定のエリアが確実にカバーされ、AppScan では、すべてのフォームへの正しい入力に必要な情報を得ることができます。
スキャン
スキャンの開始方法、スキャン中に何が行われるか、探査ステージの手動による操作方法、スキャン結果のエクスポート方法について説明します。
Data (データ)
データ・ビューには、スキャンの探査のステージ中にサイトの構造に関する情報が取り込まれます。
問題
「問題」ビューでは、スキャンの結果にアクセスできます。結果を概略レベルで表示することも、特定のテストまたはオブジェクトを選択して詳細にアクセスすることもできます。これらの詳細には、修正方法、要求/応答、および問題が発生したテスト・バリアント間の差が含まれます。問題の重大度を操作したり、(修正ありまたは修正なしで) テストを再送したり、問題に基づいたレポートを作成したりできます。
レポート
このセクションでは、スキャン結果からレポートを生成する方法について説明します。
ツール
このセクションでは、HCL AppScan Standard が提供する追加ツールの使用法を説明します。
Integrations
このセクションでは、その他のアプリケーションと AppScan Standard との統合について説明します。
ベスト・プラクティス
このセクションでは、上級ユーザー向けのベスト・プラクティスおよびユース・ケースについて説明します。
よくある質問とトラブルシューティング
CLI
このセクションでは、コマンド行インターフェースを使って使用できる構文およびオプションを説明しています。
参照
メニューおよびツールバーの概要および用語集

除外されるパスおよびファイル

アプリケーションの特定のパスや、特定タイプのファイルを無視するように AppScan を構成できます。

ただし、除外には重大な脆弱性が含まれている場合があるため、除外の適用は慎重に行ってください。ここで行う変更は、「構成」 > 「探査オプション」 > 「探査方法」で構成されるアクション・ベースの探査ではなく、要求ベースの探査にのみ適用されます。


設定	詳細
除外されるパス	URL (絶対パス。クエリーを含む場合がある) または正規表現を「除外または包含するパス」リストに追加することにより、自動探査ステージの有効範囲をフィルタリングできます。詳しくは、を参照してください。パスの除外
除外されるファイル	スキャン中に特定タイプのファイルを無視するように AppScan を構成できます。例えば、グラフィック・ファイルを除外すると、スキャンをより高速に実行できます。ただし、ファイルには重大な問題が含まれている場合があるため、ファイルの除外は慎重に行ってください。詳しくは、を参照してください。ファイルの除外

開始 URL フォルダーへのスキャンの制限