Web 巡回では、Web ページの HTML に見つかったリンクを自動的に追跡します。Web 巡回では、ユーザが特定のアクションを実行したときの Web アプリケーションと同様に、Web サーバに対してリクエストを送信します。例えば、巡回によってフォームでボタンが見つかった場合、Web サーバに対しボタンの URI がリクエストされます。この Web 巡回でのアクションは悪影響を及ぼす可能性があります。例えば、次のような場合があります。
何らかの目的で機密リソースをスキャン対象から外したい場合が多々あります。このような除外は、URL データを基準にして行われ、IP アドレスごとに行われる場合もあります。今回、IP アドレスを基準にしたテストの除外が可能になりました。また、サブスクリプション全体(すべての Web アプリケーション)に対してグローバルに適用される除外を定義できるようになりました。詳細
ブラックリスト/ホワイトリストを定義して、Web アプリケーションのスキャン対象から除外する部分またはスキャン対象とする部分を指定することをお勧めします。コメントを追加して、ユーザに特定のブラックリストまたはホワイトリストエントリが設定された理由をわかりやすくすることもできます。
- スキャン対象から除外する URL を指定するには、ブラックリストを設定します。ブラックリストエントリに一致するリンクは、ホワイトリストエントリに一致する場合を除いてスキャンされません。
- スキャン対象の URL を指定するには、ホワイトリストを設定します。ホワイトリストのみを設定した場合(ブラックリストを設定しなかった場合)、ホワイトリストエントリに一致する場合を除いて、どのリンクも巡回されません。
大量の E メール送信などの望まない悪影響が考えられるため、Web アプリケーションにある POST リクエストのフォーム送信を確実にブロックするために、POST データリストを定義することをお勧めします。
- フォーム送信をブロックする POST リクエストとその本体を識別するために、POST データのブラックリストのエントリを設定します。これにより、指定したエントリに一致する本体を持つ POST リクエストのフォーム送信がすべてブロックされるので、スキャンのすべてのフェーズにおいて、ブロックされた POST データ(例えばフォームフィールド)が送信されなくなります。例:
Web アプリケーションにあるログアウトリンクをスキャン対象から確実に除外するために、ログアウトの正規表現を定義することをお勧めします。
- スキャンから除外するログアウトリンクを識別するために、ログアウトの正規表現を設定します。ログアウトの正規表現エントリに一致するすべてのリンクがスキャン対象から除外されます。
スキャンの効率と有効性を向上させるために、パラメータをテストから除外するようパラメータを定義することをお勧めします。URL パラメータ、リクエスト本体パラメータ、または Cookie の除外を定義できます。