よくある質問
このトピックでは、一般的なアプリケーションについての質問を扱います。
内容
Web サービス、厳選テスト、および開発者必需テストのテスト・ポリシーが削除された場合に置き換えることができるテスト・ポリシー
Web API のスキャンに使用できるオプション
- Web アプリケーションの探査 (ユーザー・インターフェースのあるサイト)
- 多くのアプリケーションでは、AppScan がサイトをテストできるようにするために、開始 URL と認証の資格情報を提供するだけで十分です。
- マニュアル探査: 必要な場合は、特定のユーザー入力によってのみ到達可能な領域にアクセスできるようにするために、AppScan を介してサイトを手動で探査できます。
- マルチステップ操作: 最初に特定の順序で他のページにアクセスすることでのみ到達可能なページの場合は、AppScan のマルチステップ操作を記録して使用できます。
- Web API の探査
- AppScan は、Web API を探査するための主な方法を 3 つ用意しています。
-
Postman コレクションのインポート
DevOps プロセスの一部として API 要求の Postman コレクションを事前に記録している場合は、それをインポートしてスキャンの探査のステージとして使用できます。AppScan はコレクションを分析して使用し、サイトをテストします。参照 Postman コレクションを使用したスキャン
- OpenAPI 記述ファイルの使用
- Web サービスの OpenAPI 記述ファイル (JSON または YAML 形式) がある場合は、それをスキャンの基礎として使用できます。AppScan は、記述に基づいて自動スキャンを開始します。OpenAPI 記述ファイルを使用したスキャンを参照してください。
- または、Web API ウィザード拡張機能を使用してスキャンを構成し、サービスの使用に必要なマルチステップ・シーケンスを設定することもできます。
- 記録プロキシーの設定
- デバイス設定: サービスの探査に使用するデバイス (携帯電話やシミュレーターなど) の記録プロキシーとして AppScan を構成します。次に、AppScan は収集した探査データを分析し、適切なテストを送信します。
- 外部ツールによる記録: AppScan を使用して、Web API 機能テスターなどの外部ツールでトラフィックを記録することもできます。外部クライアントの使用を参照してください。
-
マニュアル探査とマルチステップ操作の差異
- マニュアル探査
-
マニュアル探査は、AppScan がサイトをテストするときに自動探査ステージが行われていない可能性があるアプリケーションまたはサービスの一部が確実にカバーされるようにするために、ユーザーがサイトを探査して AppScan が使用できるデータを収集する場合に行います。これは、特定のユーザー入力が必要である、またはサイトが別のタイプのツールやデバイスに対してのみ応答するなどの理由で行われます。マニュアル探査は、AppScan を使用するか、AppScan を記録プロキシーとして使用して、行うことができます。
マニュアル探査を参照してください。
- マルチステップ操作
-
ユーザーが品目をカートに追加し、まだ支払いを行っていないオンライン・ショップなど、リンクを特定の順序で クリックすることによってのみ到達できるサイトの部分を探査するには、マルチステップ操作が必要です。以下の 3 つのページについて考えます。
- ユーザーがショッピング・カートに 1 つ以上の品物を追加します
- ユーザーが支払いと配送方法の詳細を入力します
- ユーザーが、この注文が完了した確認を受け取ります
『マルチステップ操作』を参照してください。
アクション・ベースの再生と要求ベースの再生の差異
- 要求ベースの再生
- 生の HTTP 要求を記録から送信します。一般的に早いのはこちらの方法です。
- アクション・ベースの再生
- ユーザーのクリックおよびキー・ストロークを再生します。この方法を選択するのは、サイトに大量の JavaScript が含まれている場合や、要求ベースの再生に含まれている要求を検証した際に、その一部に赤色の X でマークが付けられた場合などです。この方法では、スキャン時間が長くなる可能性があります。
Web サービス、厳選テスト、および開発者必需テストのテスト・ポリシーが削除された場合に置き換えることができるテスト・ポリシー
現在のポリシー |
提案されている代替手段 |
---|---|
Web サービス |
デフォルト 「デフォルト」テスト・ポリシーは Web サービスをカバーするようになっているため、別のポリシーは必要ありません。 |
厳選テスト |
デフォルト 「デフォルト」ポリシーは、最も高速の「テストの最適化」設定とともに使用します。 |
開発者必需テスト |
アプリケーションのみ 「アプリケーションのみ」ポリシーは、より高速の「テストの最適化」設定のいずれかとともに使用します。 |
スキャン・ファイルのサイズを減らす方法
compact_scan
コマンドを使用できます。コマンド・プロンプトで次のように入力します。AppScanCmd.exe compact_scan /b <full path to base scan file> /d <full path to destination file>
一部の問題に情報が欠落していますか?
特定の問題に関する情報が「問題」ペインに見つからないと思われる場合は、「編集」> 「問題情報の生成」をクリックして更新してみてください。
ログイン・ポップアップが多すぎる
ログイン方法として「プロンプト」を選択した場合、スキャン中に管理するログイン・プロンプトが多すぎる可能性があります。
この問題を解決するには、「構成」>「テスト・オプション」ビューに移動し、「ログアウト・ページでテストを送信」チェック・ボックスをクリアします。
GraphQL Web API のスキャンに使用できるオプション
- Web API プリセットを使用します (「構成プリセット」を参照)。
- GraphQL テンプレートを (事前定義されたテンプレート・フォルダーから) ロードし、独自の Postman コレクションをインポートします。
- GraphQL テンプレートを (事前定義されたテンプレート・フォルダーから) ロードし、独自のトラフィック・ファイルをインポートします。