Tenable Web App Scanning スキャンの範囲設定

[範囲] を設定し、スキャンに含めるまた除外する URL およびファイルタイプを指定します。

スキャンまたはユーザー定義スキャンテンプレートを作成し、[概要] または [スキャン] テンプレートタイプを選択したときに、[範囲] の項目を設定できます。詳細は、スキャンテンプレート を参照してください。

ヒント: 設定を保存して他のスキャンに適用したい場合は、ユーザー定義スキャンテンプレートを作成して設定できます。

[範囲] 設定には、次のセクションが含まれます。

クロールスクリプト

複雑なアクセスロジックを使用するページをスキャナーが分析できるようにするためにスキャンに追加する必要がある Selenium スクリプトです。

注意: スキャンに複数のターゲットを追加すると、これらの設定は無効になります。

設定 説明
ファイルの追加

1 つ以上の記録されている Selenium スクリプトファイルをスキャンに追加できるようにするハイパーリンク。

スクリプトは .side ファイルとして追加される必要があります。

OpenAPI (Swagger) 仕様

スキャンする RESTful API の仕様 (ファイルのアップロードまたはファイルの場所の URL) です。ファイルは、OpenAPI 仕様 (v2 または v3) に準拠し、JSON または YAML 形式で表現する必要があります。

設定 説明
ファイル ドロップダウンリストでこのオプションを選択すると、1 つ以上の OpenAPI (v2 または v3) 仕様ファイルをファイルアップロードとして追加できます。仕様ファイルには、JSON または YAML のいずれかの形式が使われています。
URL ドロップダウンリストでこのオプションを選択すると、ファイルの場所の URL を入力して、1 つ以上の OpenAPI (v2 または v3) 仕様ファイルを追加できます。仕様ファイルには、JSON または YAML のいずれかの形式が使われています。

スキャンの包含

スキャナーで含める URL およびスキャナーでそれらの URL をクロールする方法です。

注意: スキャンに複数のターゲットを追加すると、これらの設定は無効になります。

設定 Default (デフォルト) 説明
URL の一覧 なし

[基本] 設定で指定したターゲット URL 以外の、スキャンで確実に分析したい URL。

各 URL を絶対 URL として入力します。

各 URL を別々の行に入力します。

注意: すべての URL は同じドメインでなければならず、ワイルドカードは使用できません。

アプリケーションのクロール中に見つかった URL をスキャナーが処理する方法を指定します。 Crawl all URLs detected (検出されたすべての URL をクロール)

スキャナーが URL をクロールするときに従う制限を指定します。

次のいずれかを選択します。

  • Crawl all URLs detected (検出されたすべての URL をクロール) - スキャナーはターゲット URL のドメインホスト上で検出したすべての URL と子パスをクロールします。
  • Limit crawling to specified URLs, sibling, and child paths (指定された URL、兄弟、および子パスにクロールを制限) - スキャナーはターゲット URL、兄弟、および子パスのみをクロールします。
  • Limit crawling to specified URLs and child paths (指定された URL と子パスにクロールを制限) - スキャナーはターゲット URL と子パスのみをクロールします。
  • Limit crawling to specified URLs (指定された URL にクロールを制限) - スキャナーはターゲット URL のみをクロールします。ターゲット URL の子パスはクロールしません。

スキャンの除外

スキャナーでスキャンから除外する URL の属性です。

設定 デフォルト値 説明
Regex for Excluded URLs logout

スキャナーが URL で検索できるスキャンから除外する正規表現パターンを指定できるテキストボックスオプション。改行することで、複数の正規表現を指定できます。

注意: 除外する正規表現値は、URL に含まれる値である必要があります。たとえば、http://www.example.com/blog/today.htm という URL では、有効な正規表現値は blog または today となります (URL 全体ではありません)。また、正規表現の値には大文字と小文字の区別があります。

File Extensions to Exclude js、css、png、jpeg、gif、pdf、csv、svn-base、svg、jpg、ico、woff、woff2、exe、msi、zip

スキャナーでスキャンから除外するファイルタイプを指定できるテキストボックスオプション

各ファイルタイプはコンマで区切ります。

注意: 特定のファイル拡張子を除外すると役立つ場合があります。スキャナーはスキャン対象がウェブページではなくてもそれを認識せず、ウェブページであるかのようにスキャンを試みることがあるためです。これは時間の無駄になり、スキャン速度を低下させます。使用することがわかっており、スキャンする必要がないことが確実な場合は、追加のファイル拡張子を追加できます。たとえば、Tenable にはデフォルトで .png や .jpeg などのさまざまな画像拡張子が含まれています。

パスの分解 未選択

このチェックボックスオプションを使用して、スキャン中に識別された各 URL を、ディレクトリパスレベルを基にして追加の URL にブレークダウンするかどうかを指定できます。

たとえば、ターゲットとして www.example.com/dir1/dir2/dir3 を指定し、[パスの分解] を選択した場合、スキャナーは、以下のそれぞれをターゲットの個別の URL として分析します。

  • www.example.com/dir1/dir2/dir3
  • www.example.com/dir1/dir2
  • www.example.com/dir1

ウェブアプリケーションスキャンの対象範囲を拡大するには、このオプションを選択します。

注意: パスの分解を含むスキャンは、パスの分解のないスキャンよりも完了に時間がかかることがあります。

バイナリを除外 選択済み

スキャナーで応答の URL をバイナリ形式で監査するかどうかを指定できるチェックボックスオプション。

ウェブアプリケーションスキャンの対象範囲を拡大するには、このオプションを選択します。

注意: バイナリを含むスキャンは、スキャナーがバイナリ応答を読み取ることができないので、完了するまでに時間がかかる場合があります。

その他

設定 説明
類似したページを重複除外 類似ページが既に監査されているページをスキャナーに無視させるかどうかを指定できるチェックボックスオプション。