Tenable Web App Scanning スキャンの詳細設定
詳細設定では、ウェブアプリケーションスキャンで実装する必要がある追加のコントロールを指定します。
詳細設定は、Tenable 提供のスキャンテンプレートを使用してスキャンまたはユーザー定義スキャンテンプレートを作成するときに設定できます。ただし、[概要] と [スキャン] テンプレートタイプでは、[設定監査] や [SSL TLS] テンプレートタイプよりも多くの詳細設定が可能です。詳細は、Scan Templates を参照してください。
[詳細設定] オプションを使用して、スキャンの効率とパフォーマンスを制御することができます。
[一般] オプションは、[概要] および [スキャン] テンプレートをベースにしたスキャンとユーザー定義スキャンテンプレートでのみ設定できます。
| 設定 | Default (デフォルト) | 説明 |
|---|---|---|
| Target Scan Max Time (HH:MM:SS) (対象資産スキャン最大時間 (HH:MM:SS)) | 08:00:00 |
スキャンジョブが停止するまでの実行最長時間を指定します。時間、分、秒で表示されます。 注意: 設定できる最大期間は 99:59:59 (時間: 分: 秒) です。
|
| 最大キュー時間 (HH:MM:SS) | 08:00:00 |
スキャンが Queued 状態を続ける最大期間を指定します。時間、分、秒で表示されます。 注意: 設定できる最大期間は 48:00:00 (時間: 分: 秒) です。
|
|
このスキャンのデバッグログを有効にする |
無効 | プラグインから利用可能なデバッグログを、スキャナーがこのスキャンの脆弱性出力に添付するかどうかを指定します。 |
|
Debug Flags (デバッグフラグ) |
無効 | ([このスキャンのデバッグログを有効にします] を有効にしたときのみ表示)デバッグ用に、サポートから提供されるキーと値のペアを指定できます。 |
これらの設定では、スキャナーで識別するユーザーエージェント、およびスキャナーでウェブアプリケーションに対するリクエストに含める必要がある HTTP レスポンスヘッダーを指定します。
Tenable 提供のスキャンテンプレートをベースにしたスキャンおよびユーザー定義スキャンテンプレートで [クロールの設定] オプションを設定することができます。
| 設定 | Default (デフォルト) | 説明 |
|---|---|---|
| Use a different User Agent to identify scanner (異なるユーザーエージェントを使用してスキャナを特定する) | 無効 |
スキャナーで HTTP リクエストを送信するときに Chrome 以外のユーザーエージェントヘッダーを使用するかどうかを指定します。 |
| User Agent (ユーザーエージェント) | Chrome's user-agent (Chrome のユーザーエージェント) |
スキャナーが HTTP リクエストを送信するときに使用するユーザーエージェントヘッダーの名前を指定します。 このオプションは、[異なるユーザーエージェントを使用してスキャナーを特定する] チェックボックスを選択した後にのみ設定できます。 デフォルトでは、Tenable Web App Scanning は、使用中のマシンのオペレーティングシステムとプラットフォームに対応するオペレーティングシステムとプラットフォーム用の Chrome が使用するユーザーエージェントを使用します。Chrome のユーザーエージェントの詳細については、Google Chrome のドキュメントを参照してください。 注意: 特定のバージョン番号は、コンポーネントの更新に伴い変更される可能性があります。現在の Tenable Web App Scanning ユーザーエージェントヘッダーは次のようになっています。
Mozilla/5.0 (X11、Linux x86_64) AppleWebKit/537.36 (KHTML、Gecko など) Chrome/123.4.5678.900 Safari/537.36 注意: スキャナーからのすべてのリクエストが、ユーザーエージェントによって送信されるわけではありません。
|
| スキャン ID HTTP ヘッダーの追加 | 無効 |
スキャナーがターゲットに送信するすべての HTTP リクエストにもう 1 つ X-Tenable-Was-Scan-Id ヘッダー (スキャン ID で設定されている) を追加するかどうかを指定します。これにより、ウェブサーバーのログでスキャンジョブを特定し、スキャン設定を変更してサイトを保護することができます。 |
| Custom Headers (カスタムヘッダー) | なし |
リクエストおよびレスポンスの形式の各 HTTP リクエストに挿入するカスタムヘッダーを指定します。
注意: ユーザーエージェントのカスタムヘッダーを入力した場合、その値は [ユーザーエージェント] 設定ボックスに入力された値をオーバーライドします。 |
ボタンをクリックし、各追加のヘッダーの値を入力することで、カスタムヘッダーを追加することができます。[画面設定] オプションは、[概要] および [スキャン] テンプレートをベースにしたスキャンとユーザー定義スキャンテンプレートでのみ設定できます。
| 設定 | Default (デフォルト) | 説明 |
|---|---|---|
|
Screen Width (画面の幅) |
1600 |
スキャナーに埋め込まれたブラウザの画面の幅 (ピクセル単位) を指定します。 |
|
Screen Height (画面の高さ) |
1200 |
スキャナーに埋め込まれたブラウザの画面の高さ (ピクセル単位) を指定します。 |
|
Ignore Images (画像を無視する) |
無効 |
埋め込まれたブラウザがターゲットのウェブページ上の画像をクロールするか無視するかを指定します。 |
[制限] オプションは、[概要] および [スキャン] テンプレートをベースにしたスキャンとユーザー定義スキャンテンプレートでのみ設定できます。
| 設定 | Default (デフォルト) | 説明 |
|---|---|---|
| Number of URLS to Crawl and Browse (クロールおよびブラウズする URL の数) | 10000 | スキャナーでクロールを試行する URL の最大数を指定します。 |
| Path Directory Depth (パスディレクトリの深さ) | 10 |
スキャナーでクロールするサブディレクトリの最大数を指定します。 たとえば、ターゲットが www.example.com で、スキャナーで www.example.com/users/myname をクロールしたい場合、テキストボックスに「2」と入力します。 |
| Path Directory Depth (ページ DOM 要素の深さ) | 5 | スキャナーでクロールする HTML にネストされた要素のレベルの最大数を指定します。 |
| Max Response Size (最大レスポンスサイズ) | 500000 | スキャナーで分析するページの最大読み込みサイズ (バイト単位) を指定します。 スキャナーで URL をクロールし、応答がこの上限を超えた場合、スキャナーはそのページの脆弱性を分析しません。 |
| リダイレクト制限のリクエスト | 3 | スキャナーでページのクロールの試行を停止するまでに、スキャナーが従うリダイレクトの数を指定します。 |
この設定では、記録されている Selenium 認証情報を使用してウェブアプリケーションに対する認証を試行するときのスキャナーの動作を指定します。
これらのオプションは、Selenium 認証情報を使用してウェブアプリケーションに認証されるようにスキャンを設定している場合に設定します。詳細は、Tenable Web App Scanning スキャンの認証情報 を参照してください。
[Selenium の設定] オプションは、[概要] および [スキャン] テンプレートをベースにしたスキャンとユーザー定義スキャンテンプレートでのみ設定できます。
| 設定 | Default (デフォルト) | 説明 |
|---|---|---|
| Page Rendering Delay (ページレンダリング遅延) | 30000 | スキャナーがページの表示を待機する時間 (ミリ秒単位) を指定します。 |
| Command Execution Delay (コマンド実行遅延) | 500 |
スキャナーがコマンドを処理してから次のコマンドを実行する前に待機する時間 (ミリ秒単位) を指定します。 |
| Script Completion Delay (スクリプト完了遅延) | 5000 | スキャナーがすべてのコマンドが新しいコンテンツを表示して処理を終了するのを待機する時間 (ミリ秒単位) を指定します。 |
| 設定 | Default (デフォルト) | 説明 |
|---|---|---|
| Max Number of Concurrent HTTP Connections (同時 HTTP 接続の最大数) | 10 | 単一ホストに許可される確立された HTTP セッションの最大数を指定します。 |
| Max Number of HTTP Requests Per Second (1 秒当たりの最大 HTTP リクエスト数) | 25 |
スキャンの期間中に単一ホストに許可される HTTP リクエストの最大数を指定します。 注意: スキャナーはメインの HTTP クライアントに加えて、複数のウェブブラウザを使用しますが、これらのウェブブラウザはレート制限を受けません。 |
| Slow down the scan when network congestion is detected (ネットワーク輻輳の検出時にスキャンを減速させる) | 無効 | ネットワークの混雑が発生した場合にスキャナーでスキャンを調整するかどうかを指定します。 |
| Network Timeout (In Seconds) (ネットワークタイムアウト (秒)) | 30 |
スキャナーがスキャンを中止する前にホストからの応答を待機する時間 (秒単位) を指定します。プラグイン内で特に指定されていない場合に有効になります。 インターネット接続の速度が遅い場合、Tenable は長い待機時間を指定することを推奨します。 |
| Browser Timeout (In Seconds) (ブラウザタイムアウト (秒)) | 60 |
スキャナーがスキャンを中止する前にブラウザからの応答を待機する時間 (秒単位) を指定します。プラグイン内で特に指定されていない場合に有効になります。 インターネット接続の速度が遅い場合、Tenable は長い待機時間を指定することを推奨します。 |
| Timeout Threshold (タイムアウトしきい値) | 100 | スキャナーがスキャンを中止するまでに許可される連続タイムアウト数を指定します。 |
これらのトークンを指定すると、スキャナーでトークン検証をスキップできるようになり、スキャンにかかる時間が短縮されます。セッション設定は、既存のスキャンを編集している場合にのみ使用できます。
| トークンタイプ | デフォルト | 説明 |
|---|---|---|
| クッキー | なし |
スキャナーが使用するアプリケーションの認証クッキーの名前。 |
| ヘッダー | なし |
スキャナーが使用するアプリケーションの認証ヘッダーの名前。 |