|
|
Web アプリケーションを管理できるかどうかは、サービスレベルとアカウント設定によって決まります。アカウント設定によっては、一部のアプリケーションまたはパーミッション(表示、作成、編集、削除)に限定される可能性があります。詳細
「検出リスト」タブ(「検出」->「検出リスト」)には、Web アプリケーションに対するスキャンによって検出されたすべての脆弱性が表示されます。これにより、レポートを実行せずに確認できます(検索オプションとフィルタオプションを使用し、アクションの実行対象の検出を並べ替え、特定できます)。詳細
カタログは、VM アプリケーションのスキャンによって検出された Web アプリケーションを準備する領域です(「Web アプリケーション」->「カタログ」)。カタログの各エントリには、アカウントで検出された Web アプリケーションとともに追跡情報が表示されます。サブスクリプションにカタログエントリを追加することにより、それらの Web アプリケーションをスキャンに使用できるようになります。詳細
マップは VM アプリケーションを使用して作成できます。アカウントで新しいマップが完了すると、「マップ」タブに自動的に表示されます。マップでは、ユーザのドメインに関する完全な情報(DNS レコードとトポロジ)を確認し、マップリクエストに応じて、インターネット/イントラネットペリミターに位置するアクティブなホストを特定できます。詳細
「Web アプリケーション」リストで 1 つの行をクリックすると、Web アプリケーションリストの下にプレビューパネルが表示されます。プレビューには、その Web アプリケーションの名前と URL が表示されます。その Web アプリケーションがスキャンされると、スキャンを開始したユーザ、最新のスキャンの日付と状態、脆弱性検出情報が示されます。いずれかの検出要素(「脆弱性件数」、「重大度 - 高」、「重大度 - 中」、「重大度 - 低」)をクリックすると、選択内容に関するフィルタされた「検出」リストが表示されます。表示
サイトマップを表示して、Web アプリケーションのセキュリティの最新状況を取得します(「Web アプリケーション」を選択し、目的の Web アプリケーションを選択して、「クイックアクション」メニューから「サイトマップを表示」を選択します)。スキャンされたすべてのページ/リンクのリストを取得し、巡回済みリンク、検出された脆弱性と機密コンテンツを表示することができます。ネストされているリンクをドリルダウンで表示し、アプリケーションのそれぞれのサイトに関するセキュリティ状況が確認できます。詳細
オプションプロファイルでは、Web アプリケーションスキャンに対する巡回、機密コンテンツの検出、脆弱性の検出、パスワード総当たり攻撃を設定できます。スキャンを開始またはスケジュールする場合、オプションプロファイルを選択する必要があります。アカウントに WAS オプションプロファイルがない場合、Web アプリケーションスキャン用の推奨設定を含む「Initial WAS Options」という名前のオプションプロファイルが用意されています。詳細
Web アプリケーションの中には、その機能の主要な部分にアクセスするために認証が必要なものがあります。認証スキャンはログインページのような HTML フォーム認証、およびサーバベースの認証(HTTP Basic、Digest、NTLM、または SSL クライアント証明書)に対して設定することができます。Swagger/Open API ファイル認証用に Oauth2 もサポートされています。認証スキャンには、フォーム認証とサーバ認証または Oauth2 認証とサーバ認証のいずれかを組み合わせることができます。詳細
はい。Selenium スクリプトは Qualys Browser Recorder を使用して作成することができ、スキャン中に Web アプリケーションの機能を記録して再生します。アカウントの各 Web アプリケーションについて、認証と巡回の設定を行うためにスクリプトを作成できます。詳細
Web アプリケーション設定で巡回範囲オプションを選択すると、その Web アプリケーションのスキャンの範囲を特定することができます。巡回する範囲を URL ホスト名、URL サブディレクトリまたはそれ以下のコンテンツ、URL ホスト名と指定サブドメイン、または URL ホスト名と指定ドメインに制限できます。認証スキャンの場合、ログインリンクを常に第 1 リンクにしてください。詳細
除外リストは、グローバルレベル(サブスクリプション内のすべての Web アプリケーション)での設定と Web アプリケーションごとの設定が可能です。Web アプリケーションの作成または編集時に、カスタマイズした除外リストを Web アプリケーションに適用することで、グローバル設定を無視することができます。
除外リストを使用すると、サブスクリプション内にあるすべての Web アプリケーションでスキャンするリンクと無視するリンクを指定することができます。Web アプリケーションの実稼動環境では、実行することで E メールの大量送信、すべてを消去するボタンの実行、アカウントの無効化や削除などの望ましくない結果をもたらす可能性のある特定のページをブラックリストに記載することをお勧めします。
除外リストには、ホワイトリスト、ブラックリスト、POST データのブラックリスト、ログアウトの正規表現リスト、パラメータリストがあります。詳細
データリストに大文字小文字を区別する名前のソートを設定できます。「設定」->「グローバル設定」を選択します。デフォルトでは、「大文字と小文字を区別した名前のソート」は有効になっています。設定を変更するには、「編集」をクリックします。必要に応じて、ソートの有効/無効を切り替えることができます。「保存」をクリックして変更内容を保存します。スキャン、スケジュール、オプションプロファイル、検索リストなどの名前をソートできます。
機能、場所、必要な条件に従って Web アプリケーションを整理するためにタグを使用できます。タグを定義するには、CyberSecurity Asset Management(CSAM)アプリケーションに移動します。
例えば、属している部門ごとに Web アプリケーションを整理するためにタグを使用できます。各部門に段階構造がある場合、構造を反映した階層でタグをネスト化できます。また、タグを使用して、Web アプリケーションレポートを実行できます。親タグをレポートターゲットとして選択した場合、レポートには、そのタグと子タグに一致するすべての Web アプリケーションが含まれます。
「クイックアクション」メニューの「検索」オプションには、4 つの選択肢が用意されています。選択した Web アプリケーションに関するすべてのスキャン、スケジュール、検出、または Burp の問題を検索できます。Web アプリケーションにマウスポインタを合わせて、メニューから「検索」を選択し、オプションを選択します。選択した Web アプリケーションに関するフィルタされた選択済みリストが表示されます。
Web アプリケーションをパージすると、すべての Web アプリケーションスキャンデータがサブスクリプションから削除されます。前回完了したスキャンの検出結果は、新しいレポートには含まれません。スキャン結果は削除されないので、アカウントでスキャン結果を表示することは引き続き可能です。
Web アプリケーションをパージする際には、オプションの「Web アプリケーションのセキュリティステータスレポート」を実行することをお勧めします(このレポートを実行するには、「Create Report」パーミッションが必要です)。
「Web アセットを削除」を実行すると、選択した Web アプリケーションが WAS ライセンスから削除されます。このアクションを実行すると、アカウントに永続的な影響が及びます。詳細
サブスクリプション内のすべてのモジュールから、選択した Web アプリケーションを削除したい場合は、「サブスクリプションから削除」を選択します。詳細
マルウェア検知は、Web アプリケーションスキャンに統合されています。Web アプリケーションスキャンにマルウェア検知を簡単に組み合わせることができるようになったため、インターネットに面した Web サイトが Web アプリケーションの脆弱性とマルウェアの影響を受けないようにすることができます。Web サイトのマルウェアは、通常はインターネットに接続する Web アプリケーションにおいてのみ検出されます。詳細
リストからスキャンを開始またはスケジュールできます。Web アプリケーションにマウスポインタを合わせて、メニューから「スキャン」または「スケジュール」を選択し、「検出」または「脆弱性」を選択します。ウィザードを使用して、設定を追加します。
Web アプリケーションリストから、1 つ以上の Web アプリケーションに関するレポートを簡単に作成できます。Web アプリケーションのチェックボックスをオンにし、「アクション」メニューから「レポートを表示」を選択します。「レポート」項が表示され、レポートが確認できます。
複数の Web アプリケーションに対して、オプションプロファイル、認証レコード、巡回設定など、さまざまな設定を編集できます。リストから任意の数の Web アプリケーションを選択し、「アクション」メニューで「編集」を選択し、ウィザードを使用して設定を編集します。
Web アプリケーションが WAF によって保護されている場合、「スキャントラスト」機能を有効にすることで、スキャンとレポートの精度を向上することができます。詳細
アカウントに WAF がある場合は、仮想パッチをインストールすることにより、WAF を使用して脆弱性に対する保護を行えます。「WAS」->「検出」->「検出リスト」を選択します。パッチを適用する検出結果(脆弱性または機密コンテンツ)を特定して、「クイックアクション」メニューから「パッチをインストール」を選択します。検出の詳細を確認して、ルール条件を更新または削除してから、「OK」をクリックします。ファイアウォールに仮想パッチが追加されます。
Web アプリケーションで URL の書き換えを使用している場合、パスファジングルールを定義することにより、テストが必要なパスコンポーネントを指定できるようになりました。このルールにより、ファジングが必要なパスコンポーネント/パラメータが特定されるため、ルールに一致するパスに対しては、巡回が重複することがなくなります。「WAS」の「Web アプリケーション」で、Web アプリケーションを作成または編集し、「重複リンク」項にルールを定義します。詳細
アドバンスオプションを使用すると、「デフォルトの DNS オーバーライド」と「フォームトレーニング」の設定を行えます。
「DNS オーバーライド」 -デフォルトでは、Web アプリケーション URL の DNS を使用して、Web アプリケーションを巡回し、スキャンを実行します。DNS オーバーライドレコードを選択すると、レコードのマッピングが使用されます。詳細
「フォームトレーニング」 -アクション URI と、巡回およびファジング中に代替される特定のフォームフィールドとその値を定義します。この機能を使用すると、指定されたフォームで特定のフィールドの値を上書きすることができます。フォームとは関係なく、グローバルなフィールド名とこれに関係する値も指定することができます。詳細
「ブラウザで開く」クイックアクションでは、同じブラウザウィンドウの新しいタブで Web アプリケーションを直接開くことができます。
Postman または Swagger ツールを使用してエクスポートされた. REST API のセキュリティテストがサポートされています。
Postman ツールは、REST API のテストに使用され、REST API をエクスポートおよび共有する機能があります。Postman コレクションファイルは、REST API のグループです。Postman コレクションのエクスポートファイルを JSON 形式でアップロードすると、脆弱性がスキャンされます。表示
注記: Postman では現在、v2.0.0 および v2.1.0 のみがサポートされています。アップロードするファイルのサイズは、5 MB を超えないようにしてください。
API エンドポイントおよび Swagger ファイルをスキャンする場合、このオプションを選択します。Swagger ツールは、REST API のテストに使用され、REST API をエクスポートおよび共有する機能があります。Swagger/OpenAPI ファイルを JSON または YAML 形式でアップロードすると、脆弱性がスキャンされます。表示
Swagger ベースの REST API のスキャンの場合、Web アプリケーション URL は、API 定義に従って、Swagger ファイルホストまたは OpenAPI サーバの URL を指す必要があります。ユーザの責任として、スキャン対象として入力した API をスキャンするパーミッションがあるかどうかを確認してください。
Swagger/OpenAPI ファイルホストエントリに基づいて、API に正しい巡回範囲を定義することが重要です。Swagger 2.0 ファイルのドメインがホストのドメインと同じである場合(API 自体)、巡回範囲をデフォルトの「 URL ホスト名以下に制限」にすることができます。ドメインが同じでない場合、巡回範囲を「URL のホスト名と指定したサブドメインに制限」または「URL のホスト名と指定したドメインに制限」に変更します。詳細
注記: 現在サポートされているのは、Swagger v2.0 および v3.0 のみです。圧縮前の Swagger/OpenAPI ファイルのサイズが 5 MB を超えないようにしてください。
