ウェブアプリケーション認証
始める前に
Tenable Web App Scanning スキャンでは、
認証タイプ の [設定] セクションのドロップダウンリストで、以下の中からいずれかの認証方法を設定できます。
Tenable Web App Scanning の認証の概要については、次の動画をご覧ください。
| オプション | アクション |
|---|---|
| ユーザー名 | ウェブアプリケーションベースのサーバーに認証するために Tenable Web App Scanning が使用するユーザー名を入力します。 |
| パスワード | ウェブアプリケーションベースのサーバーに認証するために Tenable Web App Scanning が使用するパスワードを入力します。 |
| オプション | アクション |
|---|---|
| Authentication Method (認証方法) | ドロップダウンボックスで、[ログインフォーム] を選択します。 |
| ログインページ | スキャンするウェブアプリケーションのログインページの URL を入力します。 |
| 認証情報 |
ターゲットのログインフォームの各フィールド (ユーザー名、パスワード、ドメインなど) について、次のように認証情報エントリに入力します。
典型的な設定の例 ヒント: テキストフィールドの名前または ID HTML DOM 属性を表示するには、テキストフィールドを右クリックし、Firefox または Chrome ブラウザで [検査] を選択します。 ヒント: 認証情報なしの [概要] スキャンを実行する場合、プラグイン 98033 ([ログインフォームが検出されました]) が、必要なログインボックスを自動的に検出してプラグインの出力にそれを表示することがあります。 |
| 正常な認証を検証するためのパターン |
認証が成功した場合にのみウェブサイトに表示される単語、語句、または正規表現を入力します (たとえば、ようこそ、[ユーザー名] さん!)。なお、先頭のスラッシュはエスケープされ、パターンの最初と最後に .* は必要ありません。 |
| アクティブなセッションを確認するためのページ |
Tenable Web App Scanning が認証されたセッションを検証するために継続的にアクセスできる URL を入力します。 |
| アクティブなセッションを確認するためのパターン |
セッションが引き続きアクティブな場合のみウェブサイトに表示される単語、語句、または正規表現を入力します (たとえば、こんにちは、[ユーザー名] さんなど)。なお、先頭のスラッシュはエスケープされ、パターンの最初と最後に .* は必要ありません。 |
| オプション | アクション |
|---|---|
| Authentication Method (認証方法) | ドロップダウンボックスで、[Cookie 認証] を選択します。 |
| セッション Cookie |
次を実行します。
|
| アクティブなセッションを確認するためのページ |
Tenable Web App Scanning が認証されたセッションを検証するために継続的にアクセスできる URL を入力します。 |
| アクティブなセッションを確認するためのパターン |
セッションが引き続きアクティブな場合のみウェブサイトに表示される単語、語句、または正規表現を入力します (たとえば、こんにちは、[ユーザー名] さんなど)。なお、先頭のスラッシュはエスケープされ、パターンの最初と最後に .* は必要ありません。 |
| オプション | アクション |
|---|---|
| Authentication Method (認証方法) | [Selenium 認証] を選択します。 |
|
Selenium Script (.side) (Selenium スクリプト (.side)) |
次を実行します。
|
| アクティブなセッションを確認するためのページ |
Tenable Web App Scanning が認証されたセッションを検証するために継続的にアクセスできる URL を入力します。 |
| アクティブなセッションを確認するためのパターン |
セッションが引き続きアクティブな場合のみウェブサイトに表示される単語、語句、または正規表現を入力します (たとえば、こんにちは、[ユーザー名] さんなど)。なお、先頭のスラッシュはエスケープされ、パターンの最初と最後に .* は必要ありません。 |
| オプション | アクション |
|---|---|
| 認証方法 | API キーを選択します。 |
|
ヘッダー |
次を実行します。
|
| アクティブなセッションを確認するためのページ |
Tenable Web App Scanning が認証されたセッションを検証するために継続的にアクセスできる URL を入力します。 |
| アクティブなセッションを確認するためのパターン |
セッションが引き続きアクティブな場合のみウェブサイトに表示される単語、語句、または正規表現を入力します (たとえば、こんにちは、[ユーザー名] さんなど)。なお、先頭のスラッシュはエスケープされ、パターンの最初と最後に .* は必要ありません。 |
| オプション | アクション |
|---|---|
| 認証方法 | [ベアラー認証] を選択します。 |
|
ベアラートークン |
ベアラートークンの値を入力します。 注意: ベアラートークン認証は、静的なベアラートークンが使用される場合に利用できます。別のログインプロセスの一部としてトークンが付与される場合は、Selenium、ログインフォーム、OAuth 認証情報のタイプの使用を検討してください。 |
| Page to Verify Active Session (アクティブなセッションを確認するためのページ) |
Tenable Web App Scanning が認証されたセッションを検証するために継続的にアクセスできる URL を入力します。 |
| アクティブなセッションを確認するためのパターン |
セッションが引き続きアクティブな場合のみウェブサイトに表示される単語、語句、または正規表現を入力します (たとえば、こんにちは、[ユーザー名] さんなど)。なお、先頭のスラッシュはエスケープされ、パターンの最初と最後に .* は必要ありません。 |

ボタンをクリックしてヘッダーを追加します。