Tenable Web App Scanning スキャンの評価設定

[評価] 設定では、スキャナーが URL をクロールするときにどのウェブアプリケーション要素を監査するかを指定します。評価設定は、スキャンやユーザー定義スキャンテンプレートを作成する際に設定できます。詳細は、スキャンテンプレート を参照してください。

評価設定には、次のセクションが含まれます。

スキャンタイプ

これらの設定では、スキャナーで実行する評価の強度を指定します。

設定 デフォルト値 説明 必須
評価 推奨

以下のオプションから選択してスキャナーで実行するスキャンタイプを指定できるドロップダウンボックス。

  • 推奨 - Tenable の推奨に基づくスキャナーの監査要素。
  • なし - スキャナーはどの要素も監査しません。
  • 高速 - スキャナーはリストに表示されている最も一般的な要素を監査します。
  • 広範囲 - スキャナーはリストに表示されているすべての要素を監査します。
  • カスタム - スキャナーは選択した要素だけを監査します。

注意: [推奨][高速]、または [広範囲] を選択してからこのセクションの設定を変更すると、[スキャンタイプ] 設定が自動的に [カスタム] に変更されます。

共通ページとバックアップページ

設定 デフォルト値 説明

Detection Level (検出レベル)

最も検出されたページ

以下のオプションから選択してスキャナーでクロールするページを指定できるドロップダウンボックスです。

  • 最も検出されたページ - スキャナーは最も多く検出されたページのみをクロールします。

  • 拡張辞書 - スキャナーは、非表示のページを検出するためにより多くのパスバリエーションをテストします。全体的なスキャン時間は長くなります。

注意: [検出レベル] ドロップダウンボックスは、[スキャンタイプ] 設定で [カスタム] を選択した場合にのみ使用できます。

認証情報ブルートフォース攻撃

[認証情報ブルートフォース攻撃] 設定は [スキャン] テンプレートでのみ使用できます。

設定 Default (デフォルト) 説明

認証情報ブルートフォース攻撃

無効

有効の場合、[プラグイン] 設定に含まれるブルートフォース攻撃を実行するプラグインが実行されます。

無効の場合、[プラグイン] 設定に含まれている場合でもブルートフォース攻撃プラグインは実行されません。

注意: [認証情報ブルートフォース] の設定は、[スキャンタイプ] 設定で [カスタム] を選択した場合にのみ使用できます。

ファイルアップロードの評価

設定 Default (デフォルト) 説明

ファイルアップロードの評価

無効

有効にすると、スキャナーは、関連する入力に対する一般的な攻撃や、既知のソフトウェアの脆弱性に対する特定の攻撃に基づいて、ファイルアップロードの脆弱性の検出を試みます。ファイルアップロードの脆弱性検出では、スキャンされたウェブアプリケーション上に、スキャナーでは削除できないファイルをリモートで作成する可能性があります。

監査する要素

この設定では、スキャナーで脆弱性を分析するウェブアプリケーション内の要素を指定します。

設定 スキャナーのアクション

Cookies

Cookie ベースの脆弱性をチェックします。

ヘッダー

ヘッダーの脆弱性と安全ではない設定 (X-Frame-Options の消失など) をチェックします。

フォーム

フォームベースの脆弱性をチェックします。

リンクおよびクエリ文字列パラメーター

リンクおよびそれらのパラメーターの脆弱性をチェックします。

パラメーター名

パラメーター名の広範囲のファジングを実行します。

パラメーター値

パラメーター値の広範囲のファジングを実行します。

パスパラメーター

パスのパラメーターを評価します。パスパラメーターは、URL リライトにおいて、URL 内のアクションのオブジェクトを特定するために使用されます。たとえば、scanId は次の URL のパスパラメーターで、結果を表示するスキャンを特定するために使用されます。

http://example.com/scan/scanId/results

JSON 要素 / リクエスト本文 (JSON)

JSON リクエストデータを監査します。

XML 要素 / リクエスト本文 (XML)

XML リクエストデータを監査します。

UI フォーム

JavaScript コードに関連付けられている入力およびボタングループをチェックします。

注意: UI フォームでは、Tenable Web App Scanning はページとボタンで入力を受け取り、フォームのような要素 (UI フォーム) を作成します。Tenable Web App Scanning は各ボタンに、ページ上のすべての入力を含む UIForm 要素を作成します。

UI 入力

関連付けられたドキュメントオブジェクトモデル (DOM) イベントに対して孤立している入力要素をチェックします。

注意: UI 入力は、イベントに応答する入力がある場合です。たとえば、検索バーに入力した後、検索バーは「onEnter」イベントに応答して次のページを読み込みます。そのため、Tenable Web App Scanning はこのベクトルも監査するために UIInput 要素を作成します。

オプション

設定 Default (デフォルト) 説明
リモートファイルインクルード用の URL

None (なし)

Tenable Web App Scanning がリモートファイルインクルージョン (RFI) の脆弱性をテストするために使用できるリモートホスト上のファイルを指定します。

スキャナーがインターネットに到達できない場合は、スキャナーはこの内部でホストされているファイルを使用して、より正確な RFI テストを実行します。

注意: ファイルを指定しない場合、Tenable Web App Scanning は安全な Tenable でホストされたファイルを使用して RFI テストを実行します。

DOM 要素の除外

DOM 要素の除外は、スキャンが特定のページ要素やその子を対象にして動作しないようにします。この設定は、スキャン、概要、および PCI スキャンテンプレートで使用できます。

注意: スキャナーが属性値に基づいて要素を除外するかどうかを決定する際に、等価性チェックが実行されます。したがって、css class foo のある要素を除外する場合、スキャナーは class="foo" の要素を除外しますが、class="foo bar" の要素は除外しません。

追加 ボタンをクリックして、[テキストコンテンツ] または [CSS 属性] を選択すると、除外項目を追加できます。

設定 Default (デフォルト) 説明
Text Contents なし

テキストの内容に基づいて要素を除外します。

たとえば、スキャナーが Log Out という名前のログアウトボタンをクリックすることを防ぎたい場合は、Log Out というテキストをマッチさせます。

CSS Attribute なし

CSS 属性のキーと値のペアに基づいて、要素を除外します。

たとえば、CSS 属性のキーと値のペア id="logout" を含むフォームとスキャナーが連動しないようにするには、キーに id、値に logout と入力します。