|
|
脆弱性の多くは、認証スキャンによって検出する必要があります。複数の認証タイプ(フォーム、HTTP ベーシック、ダイジェスト)を使用できます。同じ Web アプリケーションに対するスキャンを、異なる資格情報を使用して複数回行うことができます。そのためには、複数のレコードを追加し、“ Anonymous ”、“ User ”、“ Admin ”のように権限レベルが判断できるタイトルを入力します。例えば“ User ”レコードは 300 件のリンクと 10 件の脆弱性を検出できますが、“ Anonymous ”レコードでは 100 件のリンクしか検出できず、脆弱性は検出できないことがあります。
内部スキャンでは、ユーザのネットワークの内側に配置された Scanner Appliance を使用します。Web アプリケーションの設定の「Scanner Appliance」メニューから、使用する Scanner Appliance を名前で選択します。Scanner Appliance が 1 つもない場合は、アカウントマネージャにお問い合わせください。詳細
世界中にある当社のセキュアオペレーションセンター(SOC)に設定されているクラウドスキャナを使用すると、外部スキャンをいつでも利用できます。このオプションを使用するには、Web アプリケーションの設定の「Scanner Appliance」メニューで「外部」を選択します。
外部 Web アプリケーションの設定で、マルウェアモニタリングの機能を有効にすると、この Web アプリケーションに対してマルウェアのスキャンが毎日実行されます。このスキャンが実行される時間と、E メール通知を行うかどうかを指定できます。
タグを使用すると、サブスクリプションにある Web アプリケーションや他のオブジェクトを整理して、これらのオブジェクトに対するユーザアクセスを制御できます。Web アプリケーションにタグを適用すると、スコープ内に同じタグがあるユーザに対して、この Web アプリケーションに対するアクセス権が付与されます。Web アプリケーションのフィルタ、Web アプリケーションレポートの作成などにもタグを使用することができます。タグの作成と管理は、CyberSecurity Asset Management (CSAM)アプリケーションで行います。
Web アプリケーションスキャンの設定で選択した巡回範囲によって、スキャンを実行する範囲が決定されます。次のいずれかを指定します。
除外リストは、グローバルレベル(サブスクリプション内のすべての Web アプリケーション)での設定と Web アプリケーションごとの設定が可能です。Web アプリケーションの作成または編集時に、カスタマイズした除外リストを Web アプリケーションに適用することで、グローバル設定を無視することができます。
除外リストを使用すると、サブスクリプション内にあるすべての Web アプリケーションでスキャンするリンクと無視するリンクを指定することができます。Web アプリケーションの実稼動環境では、実行することで E メールの大量送信、すべてを消去するボタンの実行、アカウントの無効化や削除などの望ましくない結果をもたらす可能性のある特定のページをブラックリストに記載することをお勧めします。
除外リストには、ホワイトリスト、ブラックリスト、POST データのブラックリスト、ログアウトの正規表現リストがあります。詳細
Selenium スクリプトを作成するには、Qualys Browser Recorder を使用します。Qualys Browser Recorder は Web アプリケーションの自動テスト用にスクリプトを記録して再生するための無料のブラウザ拡張機能です。Qualys Browser Recorder には、Selenium のコア全体が含まれているため、ブラウザ内で Web 要素をキャプチャし、アクションを記録することが可能で、自動化されたテストケースを素早く容易に生成、編集、再生することができます。
Web アプリケーション設定に Selenium スクリプトをアップロードすると、Web アプリケーションのスキャン中にスクリプトを再生できます。具体的には次のことが可能です。
- 特定の知識やユーザとのやり取りが必要になるユーザ入力の組み合わせといった、複雑な手順を必要とする Web アプリケーションをスキャンするために記録された手順を再生できます。
- 一連のボタンのクリックやフォームへの記入など、記録された手順を再生できます。
- ログインと認証の要件を完了するために記録された手順を再生できます。