Tenable Web App Scanning のスキャンタイプ
Tenable Web App Scanning スキャンのスキャンタイプを利用すると、適切なレベルのオプションでスキャンをすぐに開始できます。
知っていましたか? WAS スキャン利用者の 65% が、クイックスキャンを好んでいます。
スキャンタイプカバレッジの詳細
| スキャンタイプ / 時間 | 説明 | 前提条件 | デフォルトのスキャンテンプレートに基づく設定 | 選択したプラグイン |
|---|---|---|---|---|
| クイックスキャン 3 分以内 |
このスキャンでは、SSL/TLS および HTTP セキュリティヘッダーに関連する設定の問題を重点的に調べます。ウェブアプリケーションはクロールされません。 | DOM 調査の無効化 非認証 クロールなし |
クローリングがないため、該当なし。 | HTTP セキュリティヘッダー すべて SSL/TLS すべて |
| 基本スキャン 1 時間未満 |
このスキャンは設定ミス、コンポーネントの脆弱性に重点を置いており、一般的な脆弱性 (RCE、XSS、SQLi など) はテストされません。 | DOM 調査の無効化 非認証 |
評価 スキャンタイプ: カスタム 監査する要素: リンク: true ヘッダー: false パラメーター名: false JSON 要素: true UI フォーム: false Cookies: false フォーム: true パラメーター値: true XML 要素: true UI 入力: false 詳細 対象資産スキャン最大時間:01:00:00 クロールおよびブラウズする URL の数: 100 パスディレクトリの深さ: 5 ページ DOM 要素の深さ: 3 ネットワーク輻輳の検出時にスキャンを減速させる 無効 |
認証とセッション 以下のみ 検出された基本認証 HTTPS を使用しない基本認証 生成元のなりすましによるアクセス制限のバイパス 暗号化されていないパスワードフォーム オートコンプリートのあるパスワードフィールド 露出したセッショントークン 脆弱なセッション管理の検出 コンポーネントの脆弱性 すべて 機密データの露呈 すべて HTTP セキュリティヘッダー すべて SSL/TLS すべて ウェブアプリケーション 以下を除くすべて PHP オブジェクトの逆シリアル化 Java オブジェクトの逆シリアル化 Python オブジェクトの逆シリアル化 サーバーサイドリクエストフォージェリ パストラバーサル 応答分割 クライアント側のプロトタイプ汚染 ウェブキャッシュのポイズニング ウェブキャッシュ偽装 未検証のリダイレクト DOM 未検証のリダイレクト HTTP パラメーター汚染 ウェブサーバー すべて |
| 標準スキャン 数時間 |
このスキャンでは、設定ミス、コンポーネントの脆弱性、よく発生する一般的な脆弱性 (RCE、XSS、SQLi など) を重点的に調べます。一般的でない脆弱性やブラインド型の脆弱性はカバーされません。 | DOM 調査の無効化 非認証 |
評価 スキャンタイプ: カスタム 監査する要素: リンク: true ヘッダー: false パラメーター名: false JSON 要素: true UI フォーム: false Cookies: false フォーム: true パラメーター値: true XML 要素: true UI 入力: false 詳細 対象資産スキャン最大時間:03:00:00 クロールおよびブラウズする URL の数: 400 パスディレクトリの深さ: 5 ページ DOM 要素の深さ: 3 ネットワーク輻輳の検出時にスキャンを減速させる 無効 |
認証とセッション 以下のみ 検出された基本認証 HTTPS を使用しない基本認証 生成元のなりすましによるアクセス制限のバイパス 暗号化されていないパスワードフォーム オートコンプリートのあるパスワードフィールド 露出したセッショントークン 脆弱なセッション管理の検出 コード実行 コードインジェクション コードインジェクション PHP 入力ラッパー オペレーティングシステムのコマンドインジェクション コンポーネントの脆弱性 すべて クロスサイトリクエストフォージェリ すべて クロスサイトスクリプティング クロスサイトスクリプティング (XSS) HTML タグのクロスサイトスクリプティング (XSS) 属性コンテキストのクロスサイトスクリプティング (XSS) パスのクロスサイトスクリプティング (XSS) HTML 要素のイベントタグにおけるクロスサイトスクリプティング (XSS) スクリプトソースのクロスサイトスクリプティング (XSS) XSSI Dot Net XSS クロスサイトスクリプティング (XSS) 蓄積型 機密データの露呈 すべて ファイルインクルージョン すべて HTTP セキュリティヘッダー すべて インジェクション XML 外部エンティティ XPath インジェクション SQL インジェクション NoSQL インジェクション LDAP インジェクション ホストヘッダーインジェクション サーバーサイドテンプレートインジェクション クライアントサイドテンプレートインジェクション コンテンツ注入 Spring 式言語インジェクション JSONP インジェクション サーバー側のインクルードインジェクション SSL/TLS すべて ウェブアプリケーション 以外を除くすべて PHP オブジェクトの逆シリアル化 Java オブジェクトの逆シリアル化 Python オブジェクトの逆シリアル化 ウェブサーバー すべて |
| カスタムスキャン 変数 |
スキャン範囲の最大レベル。 | DOM 調査の有効化 利用可能な認証 |
評価 スキャンタイプ: 評価: 広範 認証情報ブルートフォース攻撃: 有効 詳細 対象資産スキャン最大時間: 99:00:00 |
すべてのプラグイン |
注意: 各スキャンタイプ (およびスキャンテンプレート) は、プラグインのファミリーと個々のプラグインをサポートしています。詳細については、スキャンプラグインの表示を参照してください。