Web アプリケーションの中には、その機能の主要な部分にアクセスするために認証が必要なものがあります。認証スキャンはログインページのような HTML フォーム認証、およびサーバベースの認証(HTTP Basic、Digest、NTLM、または SSL クライアント証明書)に対して設定することができます。巡回が完了するまで認証スキャンが認証された状態を維持できるように、セッション状態が監視されます。
Swagger/Open API ファイル認証用に Oauth2 もサポートされています。認証スキャンには、フォーム認証とサーバ認証または Oauth2 認証とサーバ認証のいずれかを組み合わせることができます。認証レコードを作成するときに、フォームレコードではなく Oauth2 レコードを設定する場合は、フォームレコードタイプを「NONE」に設定します。Oauth2 レコードではなくフォームレコードを設定する場合は、OAuth2 レコードグラントタイプを「NONE」に設定します。
同じ Web アプリケーションに対するスキャンを、異なる資格情報を使用して複数回行うことができます。例えば、異なる資格情報を使用して実行されたスキャンを区別する必要がある場合があります。これを行うために、“ Anonymous ”、“ User ”、“ Admin ”など各種の権限レベルに対処するための複数のレコードを定義できます。例えば“ User ”レコードは 300 件のリンクと 10 件の脆弱性を検出できますが、“ Anonymous ”レコードでは 100 件のリンクしか検出できず、脆弱性は検出できないことがあります。
次のタイプのフォーム認証がサポートされます。
- HTML フォームベースの認証(標準ログイン)
- カスタムフォームフィールド(詳細)
- ユーザのファイルシステムからアップロードされた Selenium スクリプト
次のグラントタイプがサポートされます。
- Authorization Code
- Implicit
- Client Credentials
- Resource Owner Password Credentials
次のタイプのサーバ認証がサポートされます。
- Basic
- Digest
- NTLM
Selenium スクリプトを作成するには、Qualys Browser Recorder を使用します。Selenium スクリプトの作成