ウェブアプリケーション認証

Tenable Web App Scanning スキャンで、次のいずれかのタイプのウェブアプリケーション認証の認証情報を設定できます。

Tenable Web App Scanning の認証の概要については、次の動画をご覧ください。

ヒント: ログインプロセスによってヘッダーや Cookie が設定された場合、スキャナーはこれを認識し、後続のリクエストに含めます。想定どおりに動作しない場合は、Selenium 認証を使用して、ログインプロセスを .side ファイルに記録して、そのファイルをスキャンで使用します。問題が解決しない場合は、Tenable の担当者に連絡してサポートを依頼してください。

ログインフォーム認証

オプション アクション
Authentication Method (認証方法) ドロップダウンボックスで、[ログインフォーム] を選択します。
ログインページ スキャンするウェブアプリケーションのログインページの URL を入力します。
認証情報

ターゲットのログインフォームの各フィールド (ユーザー名、パスワード、ドメインなど) について、次のように認証情報エントリに入力します。

  1. 左側のテキストボックスに、ログインフィールドの名前または ID HTML DOM 属性の値を入力します。
  2. 行の右側のテキストボックスに、ログイン時にそのテキストフィールドに挿入するリテラル値を入力します。

典型的な設定の例

ヒント: テキストフィールドの名前または ID HTML DOM 属性を表示するには、テキストフィールドを右クリックし、Firefox または Chrome ブラウザで [検査] を選択します。

ヒント: 認証情報なしの [概要] スキャンを実行する場合、プラグイン 98033 ([ログインフォームが検出されました]) が、必要なログインボックスを自動的に検出してプラグインの出力にそれを表示することがあります。

正常な認証を検証するためのパターン

認証が成功した場合にのみウェブサイトに表示される単語、語句、または正規表現を入力します (たとえば、ようこそ[ユーザー名] さん!)。なお、先頭のスラッシュはエスケープされ、パターンの最初と最後に .* は必要ありません。

アクティブなセッションを確認するためのページ

Tenable Web App Scanning が認証されたセッションを検証するために継続的にアクセスできる URL を入力します。

アクティブなセッションを確認するためのパターン

セッションが引き続きアクティブな場合のみウェブサイトに表示される単語、語句、または正規表現を入力します (たとえば、こんにちは[ユーザー名] さんなど)。なお、先頭のスラッシュはエスケープされ、パターンの最初と最後に .* は必要ありません。

Cookie 認証

オプション アクション
Authentication Method (認証方法) ドロップダウンボックスで、[Cookie 認証] を選択します。
セッション Cookie

次を実行します。

  1. 最初のテキストボックスで、Cookie 認証の認証情報の名前を入力します。
  2. 2 番目のテキストボックスに、Cookie 認証の認証情報の値を入力します。
アクティブなセッションを確認するためのページ

Tenable Web App Scanning が認証されたセッションを検証するために継続的にアクセスできる URL を入力します。

アクティブなセッションを確認するためのパターン

セッションが引き続きアクティブな場合のみウェブサイトに表示される単語、語句、または正規表現を入力します (たとえば、こんにちは[ユーザー名] さんなど)。なお、先頭のスラッシュはエスケープされ、パターンの最初と最後に .* は必要ありません。

Selenium 認証

オプション アクション
Authentication Method (認証方法) [Selenium 認証] を選択します。

Selenium Script (.side)

次を実行します。

  1. Selenium IDE 拡張機能で、認証の認証情報を Selenium IDE 拡張機能に記録します。

  2. [ファイルの追加] をクリックします。

    お使いのオペレーティングシステムのファイルマネージャーが表示されます。

  3. Selenium 認証情報 .side ファイルに移動して選択します。

    Tenable Web App Scanning によって認証情報ファイルがインポートされます。

アクティブなセッションを確認するためのページ

Tenable Web App Scanning が認証されたセッションを検証するために継続的にアクセスできる URL を入力します。

アクティブなセッションを確認するためのパターン

セッションが引き続きアクティブな場合のみウェブサイトに表示される単語、語句、または正規表現を入力します (たとえば、こんにちは[ユーザー名] さんなど)。なお、先頭のスラッシュはエスケープされ、パターンの最初と最後に .* は必要ありません。

API キー認証

オプション アクション
認証方法 API キーを選択します。

ヘッダー

次を実行します。

  1. 最初のテキストボックスに、HTTP ヘッダーの名前を入力します。

  2. 2 番目のテキストボックスに、HTTP ヘッダーの値を入力します。

  3. (オプション) 追加 ボタンをクリックしてヘッダーを追加します。

アクティブなセッションを確認するためのページ

Tenable Web App Scanning が認証されたセッションを検証するために継続的にアクセスできる URL を入力します。

アクティブなセッションを確認するためのパターン

セッションが引き続きアクティブな場合のみウェブサイトに表示される単語、語句、または正規表現を入力します (たとえば、こんにちは[ユーザー名] さんなど)。なお、先頭のスラッシュはエスケープされ、パターンの最初と最後に .* は必要ありません。

ベアラー認証

オプション アクション
認証方法 [ベアラー認証] を選択します。

ベアラートークン

ベアラートークンの値を入力します。

注意: ベアラートークンは OAuth の一部です。Tenable Web App Scanning が OAuth をサポートするのは、OAuth が OpenIDConnect に含まれ、selenium スクリプトを介して記録可能な場合です。OpenIDConnect に含まれない OAuth の実装は、トークンが動的であるか、または認証目的で特別な静的 (非動的) トークンを作成した場合にのみサポートされます。

アクティブなセッションを確認するためのページ

Tenable Web App Scanning が認証されたセッションを検証するために継続的にアクセスできる URL を入力します。

アクティブなセッションを確認するためのパターン

セッションが引き続きアクティブな場合のみウェブサイトに表示される単語、語句、または正規表現を入力します (たとえば、こんにちは[ユーザー名] さんなど)。なお、先頭のスラッシュはエスケープされ、パターンの最初と最後に .* は必要ありません。