スキャンを実行するための各種オプションをカスタマイズします。カスタマイズしたオプションは、プロファイルとして保存し、再利用できます。一般的な環境用に、デフォルトプロファイルが提供されています。「設定」->「オプションプロファイル」を選択します。
WAS 設定パーミッションをユーザが持っているかどうかは、ユーザロールおよびパーミッションによって決まります。オプションプロファイルおよびその他の WAS 設定を作成、編集、削除するための個別のパーミッションがあります。詳細
オプションプロファイルにタグを適用すると、他のユーザがそのプロファイルを使用できるようになります。オプションプロファイルに適用されるタグと一致するタグがスコープ内にあるユーザは、スキャンでそのプロファイルを選択できるようになります。
最初のスキャンで使用する際に利用できるように、Web アプリケーションスキャン用の推奨設定になっている「Initial WAS Options」プロファイルが提供されています。このプロファイルはカスタマイズしたり、名称を変更できます。
アカウントに完全なパーミッションとスコープが付与されている場合、あるオプションプロファイルをサブスクリプションのデフォルトとして選択することができます。この設定を行うには、「サブスクリプション用のデフォルトのオプションプロファイルにする」を選択します。対象の Web アプリケーションに他のオプションプロファイルが定義されていない限り、スキャンを開始するたびにそのプロファイルが自動的に選択されます(この場合でも、スキャン設定でデフォルトを上書きすることは可能です)。
デフォルトでは、プロファイルを作成したユーザが初期所有者として設定されます。オプションプロファイルを編集するパーミッションを持つユーザは、所有者を変更できます。
巡回設定では、スキャナがフォームにリクエストを送信する方法を指定します。デフォルトの設定は、「Post & Get」です。この設定では、スキャンですべてのフォームにリクエストが送信されます。認証の場合、このオプションは最大限の脆弱性分析と最も包括的なスキャン結果のために推奨されるベストプラクティスです。「なし」を選択すると、認証がリクエストされない限り、フォームにリクエストが送信されないようにすることができます。この場合、ログインフォームのみがテストされます。POST フォームに対してのみリクエストを送信するようにスキャンに指示する場合は POST、GET フォームに対してのみリクエストを送信する場合は GET を選択します。
同じフィールドを持つフォームがスキャン時に無視されないようにするためには、「フォーム巡回の範囲」を選択する必要があります。「フォーム巡回の範囲」を有効にすると、フォームの一意性を計算する際に、フォームフィールドに加え、フォームのアクション URI が使用されます。詳細
オプションプロファイルの設定「ファイル拡張子を基準に、一般的なバイナリファイルを無視します。」が選択されていると、スキャンでバイナリファイルが無視されます。この設定が有効な場合、拡張子が pdf、zip、doc のファイルはすべてスキャンで無視されます。このオプションは、オプションプロファイルを作成するとデフォルトで有効になります。また、すべてのオプションプロファイルで、この設定はいつでも編集できます。
Web アプリケーションへのアクセスに特定のユーザエージェント文字列が必要である場合、これを指定する必要があります。ユーザエージェント文字列を指定するには、スキャンのオプションプロファイルを設定するときに、「一般設定」の「ユーザエージェント」フィールドに、Web アプリケーションのユーザエージェント設定を指定します。表示
ユーザエージェント文字列を指定しない場合、スキャンではデフォルトのユーザエージェント設定が使用されます。使用されるデフォルトのユーザエージェント設定は、次のとおりです。user-agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_3) AppleWebKit/601.4.4 (KHTML, like Gecko) Version/9.0.3 Safari/601.4.4
Web アプリケーションで特定のユーザ設定が使用されているが、これが指定されていない場合、Web アプリケーションがロードされない場合があります。表示
Web アプリケーションのユーザエージェント文字列を取得するには、所定のブラウザで Web アプリケーションにアクセスして、リクエストヘッダからユーザエージェント文字列をコピーします。表示
スキャン時の Web アプリケーションの巡回を強化するオプションが 2 つあります。
パフォーマンス設定を使用すると、Web アプリケーションスキャン全体の強度を設定できます。定義済みの設定を選択するか、カスタムのスキャン強度を設定できます。詳細
Web アプリケーションがパスワード解析に対してどの程度脆弱かを判別するには、パスワード総当たり攻撃を使用します。「システムリスト」を選択すると、検出したログイン ID それぞれのパスワードの推測が行われます。必要に応じた総当たり攻撃のレベル(「最小限」から「完全」)を選択してください。「ユーザリスト」を選択すると、アカウントで定義されている総当たり攻撃リスト(「設定」->「総当たり攻撃リスト」)が選択されます。詳細
検出範囲設定では、スキャンで KnowledgeBase のどの脆弱性をチェックするかを指定します。
XSS ペイロード: 追加の XSS ペイロードを含めるためのチェックボックスを使用すると、標準スキャンで、クロスサイトスクリプティングの脆弱性に対する包括的なテストの実行を有効化できます。この包括的なテストには、完全なペイロードセット(一連の標準ペイロードを含む)を使用する XSS が含まれます。スキャンの検出範囲で XSS ペイロードオプションを有効にしてスキャンを実行すると、XSS の脆弱性による Web アプリケーションへの影響を最も確実に防ぐことができます。ただし、このオプションの有効化は、スキャン時間の大幅な増加につながります。表示
- 「コア」: “ コア ”の検出範囲は、新しい WAS オプションプロファイルに対するデフォルトになります。コア範囲には、現在の Web アプリケーションにおいて最も一般的であると Qualys が見なす脆弱性が含まれています。コア範囲には、WAS で検出可能なすべての脆弱性が含まれるわけではありません。例えば、QID 150233(Atlassian JIRA の以前のバージョンにある XSS の脆弱性)や QID 150225(Liferay Portal の脆弱性)は、スキャンの検出範囲が「コア」に定義されている場合には含まれません。可能性のあるすべての脆弱性をテストするには、より長いスキャン時間が必要になります。
必要であれば、完全なスキャン範囲を適用したスキャンをいつでも実行することができます。これを行うには、動的検索リストを作成して、「確認済み脆弱性の重大度」、「潜在的な脆弱性の重大度」、「収集情報の重大度」のすべてのチェックボックスを選択します。WAS オプションプロファイルの「検出範囲」で「カスタム検索リスト」を選択して、この動的検索リストを追加します。
- 「カテゴリ」: カテゴリに定義された特定の脆弱性。カテゴリを選択して、スキャンで関連付けられている脆弱性をチェックします。例えば、「Experimental」カテゴリがあります。このカテゴリは、誤検出や未検出のシナリオを減らすためにレポートされた QID から構成されています。「Experimental」QID は、脆弱性がアクティブな概念実証(POC)によって確認することができない検出結果です。脆弱性が確認できない理由として、次のことが考えられます。
- ライセンス、アクセス権、時間制約などのロジスティクスが原因で、脆弱性に関連するすべての環境がテストされるわけではない。
- 脆弱性が特定の環境に限定されている場合がある。
- QID の確認が進行中で、テストされレポートされるすべての変数が完了しているわけではない。
特定のカテゴリに含まれる検出/QID を表示するには、各カテゴリに追加されている QID の数を示す数字をクリックします。
- 「カスタム検索リスト」: 検索リストに定義された特定の脆弱性。これにより、検出範囲に対して最大限きめの細かいコントロールが可能になります。検索対象に含める検索リストと、検索対象から除外する検索リストを選択できます。検索対象に含めるリストにある QID はすべて検出範囲に含まれ、除外するリストにある QID はすべて検出範囲から除外されます。「カスタム検索リスト」では、アカウントで定義された検索リストを選択し(「設定」->「検索リスト」)、含める脆弱性と除外する脆弱性を指定します。詳細
- 「XSS パワーモード」: クロスサイトスクリプティングの脆弱性を包括的にテスト。XSS パワーモードの検出範囲では、最も一般的な XSS のインスタンスを検出する標準 XSS ペイロードだけでなく、あまり一般的ではない一部の状況において XSS を識別できる追加のペイロードも使用してテストを実行します。スキャンを XSS パワーモードで実行すると、スキャン時間は増加しますが、XSS の脆弱性に対してより包括的なテストが実施されます。
- 「すべて」: WAS が検出できるすべての脆弱性。検出範囲で「すべて」を選択すると、スキャン内の WAS に関連するすべての脆弱性が確認されます。このため、スキャン時間が長くなる場合があります。
スキャンする脆弱性チェック(QID)を選択するための検索リストを追加します。既存の検索リストを選択するには、「検索リストの追加」をクリックします。新しい検索リスト(静的リストまたは動的リスト)を作成するには、「新規作成」をクリックします。追加する検索リストには、Web アプリケーションの脆弱性のみが含まれている必要があります。
スキャンから除外する脆弱性チェック(QID)を選択するための検索リストを追加します。既存の検索リストを選択するには、「検索リストの追加」をクリックします。新しい検索リスト(静的リストまたは動的リスト)を作成するには、「新規作成」をクリックします。追加する検索リストには、Web アプリケーションの脆弱性のみが含まれている必要があります。
サービスは既知のパターン(クレジットカード番号、社会保障番号など)またはユーザが入力したカスタムパターンに基づき、巡回した Web アプリケーションのページの機密コンテンツをチェックします。表現検索メカニズムにより、誤検出を減らして、クレジットカード番号や社会保障番号(米国のみ)をチェックできます。クレジットカード情報や社会保障情報は収集されません。
重要: 機密コンテンツ検出は、QID 150016 をスキャンする場合にのみ実行されます。「検出範囲」項で「カスタム」を選択する場合は、対象となる検索リスト(QID 150016 を含む)を追加する必要があります。
文字列と正規表現の形式でキーワードを指定して、URL リンクをキーワードで検索することができます。キーワードは、「検索条件」タブの「キーワード URL 検索」フィールドに指定します。「検出スキャン」/「脆弱性スキャン」の実行時、巡回フェーズ中にターゲットの Web アプリケーションで見つかった内部リンクで、これらのキーワードが検索されます。指定されたキーワードを含む一意のリンクはすべて、WAS スキャンレポートおよび Web アプリケーションレポートの収集情報 QID 150141 に表示されます。
オプションプロファイルの行をクリックすると、リストの下にプレビューパネルが表示されます。プレビューには、Web アプリケーションとオプションプロファイルを使用しているスケジュールスキャンの数、オプションプロファイルを最後に更新したユーザの名前、更新の日付と時刻、追加された最新コメントが表示されます。
スキャン中にタイムアウトや予期しないエラーが連続して発生する際の許容できるしきい値を指定することができます。スキャン時にエラーの発生回数がこのしきい値を超えると、スキャンは終了します。
オプションプロファイルから、コア、XSS パワーモード、カテゴリの検出範囲をカスタマイズすることができます。
検出範囲をカスタマイズするには、「コア」、「 パワーモードの検出範囲」または「カテゴリ」を検出範囲として設定したオプションプロファイルを作成または編集します。オプションプロファイルの作成または編集画面で、「検索条件」を選択します。
「コア」検出範囲の場合は、「View list of Core QIDs」で「コア QID」リンクをクリックします。「コア検出範囲に含まれる QID」画面で、「Copy All QIDs」をクリックします。次に必要に応じてリストに対して QID を追加または削除し、編集後の QID で新しい検索リストを作成します。
「XSS パワーモードの検出範囲」の場合は、「View list of XSS QIDs here」にある「こちら」をクリックします。「XSS パワーモードの検出範囲に含まれる QID」画面で、「Copy All QIDs」をクリックします。次に必要に応じてリストに対して QID を追加または削除し、編集後の QID で新しい検索リストを作成します。
「カテゴリ」検出範囲の場合は、カスタマイズするカテゴリで QID 合計数を表している数字をクリックします。「カテゴリに含まれる QID」画面で、「Copy All QIDs」をクリックします。次に必要に応じてリストに対して QID を追加または削除し、編集後の QID で新しい検索リストを作成します。
