セッション ID

サイトが (Cookie またはパラメーターの形式の) 時間制限付きのセッション ID を使用する場合、サイトは有効期限が切れたトークンを含む要求を拒否します。そのため、サイトはテストに失敗します。

したがって AppScan® は、時間制限付きのセッション ID である HTML パラメーターや Cookie を識別し、取り扱うことができる必要があります。AppScan はセッション ID に利用可能な最新の値を割り当て、アプリケーション・セッションの有効期限切れを防止します。

AppScan がセッション ID の値を自動的に更新するかどうか決定することができます。 セッション ID の「状態」を設定します。

• ログイン値: (推奨) このパラメーターを含むテスト要求を送信するときに、AppScan はセッション ID を、セッション内要求より先にアプリケーションから受信した値で自動的に更新します。

  ヒント: 「セッション内応答」のパラメーターを追跡する場合、タイプを動的、ログインしないに設定し、「構成」>「詳細」>「セッション管理:セッション内ページの解析」が「True」(デフォルト値)に設定されていることを確認します。
  特定の値を設定しなければならない特定の必要がない限り、ほとんどのパラメーターおよび Cookie には、この状態が推奨されます。 ただし、ログイン値セッション ID が使用されると、値がデータベース内にある間に有効期限が切れる可能性があります。

  注: ログインの記録がマルチステップ・シーケンスの一部である場合は、受け取ったパラメーターをログイン値として定義しても、その使用方法には影響しません。常にダイナミックとして扱われます。詳しくは、「マルチステップ操作」ビューを参照してください。

  データベース内のある追跡対象セッション ID を更新するには、スキャンを実行する直前に、セッション ID が送信される URL にアクセスします。 新規のセッション ID が、更新された値で送信されます。

• ダイナミック: AppScan は、(例えば、シャドー Cookie と同様に) テスト前に Web アプリケーションで設定された新規の値に従って、テスト・ステージ中にセッション ID の値を自動的に更新します。

  「ダイナミック」 は、固有のセッション ID が特定の使用手順で更新されるように求めるセキュリティー手段を Web アプリケーションが実施することがわかっている場合にのみ選択してください。

• 固定: 固定値を保持します。 Web アプリケーションのセキュリティーで、このセッション ID が常にこの値を持つ必要がある場合は、セッション ID に固定値を設定します。

探査ステージ中に、AppScan は、セッション ID と思われる Cookie および HTML パラメーターを自動的に検出し、それをリストに追加します。 セッション ID であることがわかっている Cookie およびパラメーターは、スキャンの構成時に手動で追加できます。