ウェブ認証の認証情報

Tenable Nessusウェブアプリテンプレートでは、次のウェブ認証の認証情報を使用できます。

注意: 次の設定は、Tenable Nessus のウェブアプリケーションスキャンにのみ適用されます。Tenable Web App Scanning 製品の設定を表示するには、Tenable Web App Scanning スキャン設定を参照してください。

HTTP サーバー認証

ウェブアプリケーションスキャンで、HTTP サーバーベースの認証の認証情報の次の設定を構成することができます。

オプション アクション
Username (ユーザー名) Tenable Nessus で HTTP ベースのサーバーを認証するために使用するユーザー名を入力します。
Password (パスワード) Tenable Nessus で HTTP ベースのサーバーを認証するために使用するパスワードを入力します。
Authentication Type (認証タイプ)

ドロップダウンリストで、次の認証タイプのいずれかを選択します。

  • 基本
  • NTLM
  • Kerberos
Kerberos Realm (Kerberos 領域) (Kerberos 認証タイプを有効にする場合に必要) Kerberos ターゲット認証が属する領域を入力します。
Key Distribution Center (KDC) (キー配布センター (KDC)) (Kerberos 認証タイプを有効にする場合に必要) ユーザーセッションチケットを提供するホストを入力します。

ウェブアプリケーション認証

ウェブアプリケーションスキャンで、次のいずれかのタイプのウェブアプリケーション認証の認証情報を設定することができます。

ログインフォーム認証

オプション アクション
Authentication Method (認証方法) ドロップダウンボックスで、[ログインフォーム] を選択します。
ログインページ スキャンするウェブアプリケーションのログインページの URL を入力します。
Login Parameters (ログインパラメーター)

スキャンするウェブアプリケーションのログインパラメーターを入力します。パラメーターは、JSON キーと値のペアとして入力してください (例: {"username": "example_user", "password": "example_password"})。

Pattern to Verify Successful Authentication (正常な認証を検証するためのパターン)

認証が成功したときだけウェブサイトに表示される単語、語句、または正規表現を入力します (たとえば、ようこそ[ユーザー名] さん!)。なお、先頭のスラッシュはエスケープされ、パターンの最初と最後に .* は必要ありません。

Page to Verify Active Session (アクティブなセッションを確認するためのページ)

Tenable Nessus が認証されたセッションを検証するために継続的にアクセスできる URL を入力します。

Pattern to Verify Active Session (アクティブなセッションを確認するためのパターン)

セッションが引き続きアクティブな場合のみウェブサイトに表示される単語、語句、または正規表現を入力します (たとえば、こんにちは[ユーザー名] さんなど)。なお、先頭のスラッシュはエスケープされ、パターンの最初と最後に .* は必要ありません。

Cookie 認証

オプション アクション
Authentication Method (認証方法) ドロップダウンボックスで、[Cookie Authentication] (Cookie 認証) を選択します。
Cookies

Cookie のキーと値のペアを、コンマ区切りリストとして入力します。ペアはエンコードせず、有効な JSON 形式にする必要があります。例

{"name" : "value","name2" : "value2","name3" : "value3"}

アクティブなセッションを確認するためのページ

Tenable Nessus が認証されたセッションを検証するために継続的にアクセスできる URL を入力します。

Pattern to Verify Active Session (アクティブなセッションを確認するためのパターン)

セッションが引き続きアクティブな場合のみウェブサイトに表示される単語、語句、または正規表現を入力します (たとえば、こんにちは[ユーザー名] さんなど)。なお、先頭のスラッシュはエスケープされ、パターンの最初と最後に .* は必要ありません。

Selenium 認証

オプション アクション
Authentication Method (認証方法) [Selenium 認証] を選択します。

Selenium Script (.side)

次を実行します。

  1. Selenium IDE 拡張機能で、認証の認証情報を Selenium IDE 拡張機能に記録します。

  2. [ファイルの追加] をクリックします。

    お使いのオペレーティングシステムのファイルマネージャーが表示されます。

  3. Selenium 認証情報 .side ファイルに移動して選択します。

    Tenable Nessus によって認証情報ファイルがインポートされます。

Page to Verify Active Session (アクティブなセッションを確認するためのページ)

Tenable Nessus が認証されたセッションを検証するために継続的にアクセスできる URL を入力します。

Pattern to Verify Active Session (アクティブなセッションを確認するためのパターン)

セッションが引き続きアクティブな場合のみウェブサイトに表示される単語、語句、または正規表現を入力します (たとえば、こんにちは[ユーザー名] さんなど)。なお、先頭のスラッシュはエスケープされ、パターンの最初と最後に .* は必要ありません。