FAQ

ASoC によって、自動プロセスで生成された結果が最適でないことが検出された場合、スキャン状況は「スキャンはレビュー中です」に変更されます。当社のスキャン・イネーブラー・チームによって設定がレビューされ、最良のスキャン結果が得られるように変更される場合があります。この段階でお客様は入力する必要はありません。ただし、レビューがキャンセルされてしまうので、スキャンのキャンセルは行わないでください。 設定のレビューが終了すると (通常は数時間以内)、スキャンが再開され、完了します。

スキャンが失敗したり、レビュー中になったりした場合、考えられる理由は次のとおりです。

ログイン資格情報が無効
ログインするにはいつもとは違う別のログイン手順が必要
ログインで CAPTCHA を使用している (CAPTCHA はサポートされていません。スキャンを行うには、CAPTCHA を無効にする必要があります)
アプリケーション・ファイルが無効
HTTP 認証の資格情報が無効であるか、見つからない
サーバーが応答しないか、ゲートウェイが正しくない (ASoC が多数の要求を送信するため、サイト/アプリケーションが安定していて、大量のトラフィックに対応できる必要があります)
IP がブロックされている (ASoC で使用される IP をホワイトリストに登録してください)
アカウントがロックアウトされている
手動での結果の検証が必要
選択したテスト・ポリシー (スキャン中に送信される一連のテスト) がサイト/アプリケーションに適していない
プライベート・サイトのスキャン: AppScan プレゼンスがアクティブでない

これらの問題を回避できれば、スキャンは自動的かつ高速に完了する可能性が高くなります。これは特に ASoC スキャンを自動プロセスに組み込んでいる場合に重要であり、そうなればスキャン時間が可能な限り短くなります。

スキャンが失敗したらどうなりますか?

お客様のアカウントへの請求は発生しません。
スキャンが失敗した理由に関する診断があれば、お客様が修正できるように通知されます。

スキャンを削除しても無料の再スキャン期間を利用できますか?

いいえ。ごみ箱アイコンをクリックすると、再スキャン・オプションが無効になり、新しいスキャンを購入する必要が生じます。

削除したスキャンのスキャン結果を取得することはできますか?

いいえ。ごみ箱アイコンをクリックすると、スキャン結果はデータベースから削除されます。

再スキャンの後、以前のスキャンのスキャン結果を取得することはできますか?

いいえ。アプリケーションを再スキャンすると、以前のスキャン結果はデータベースから削除されます。

スキャンの完了にはどれぐらいの時間がかかりますか?

アプリケーションのサイズと複雑さによりますが、数分から数日かかります。スキャン完了時に E メールを受け取るように指定できます。

スキャンに長時間かかっているようです。動作していない可能性はありますか?

スキャンの進行状況はモニター・システムによりチェックされており、進行していないスキャンは停止されるようになっています。スキャンがまだ実行されているように見える場合は、高確率で実際に実行中です。

スキャンを自分で削除しない場合、どれぐらいの期間、データベースに保持されますか?

お客様がアップロードしたファイル (APK、IPA、IRX、SCAN、SCANT など) は、トラブルシューティングに使用する目的で、最長で 1 カ月間サービスにキャッシュされます。スキャン結果は、お客様がそれらを削除するか、またはユーザー・アカウントが削除されないかぎり、サービスに永続的に保管されます。

ASoC はどの IP を使用しますか?

システム要件を参照してください。

Android モバイル・アプリのテスト対象となるセキュリティー問題

アクティビティーのハイジャック
Android クラス・ロードのハイジャック
Android フラグメント・インジェクション
ブロードキャストの盗用
バッファー・オーバーフロー
クライアント・サイドの SQL インジェクション
定数の初期化ベクトル (IV)
定数のパスワード
定数のソルト
定数の秘密鍵
定数のシード
定数のトークン
Java™ コードのクラッシュ
ネイティブ・コードのクラッシュ
資格情報の漏えい
クロスアプリケーション・スクリプティング
中間者攻撃 (MiTM) によるクロスサイト・スクリプティング
リリース・バージョンで有効になっているデバッグ・フラグ
検出されたデバッグ・バージョン
非推奨 SSL バージョンがサポートされている
ファイル操作
情報漏えい
安全でないファイル許可
安全でないペンディング・インテント
安全でない直列化
フレームワークによる安全でない直列化
安全でない TLS/SSL トラスト・マネージャー
安全でない WebView TLS/SSL エラー・ハンドラー
証明書のピン留めの欠落
中間者攻撃 (MiTM) によるフィッシング
サービスのハイジャック
UI スプーフィング
安全でないリフレクション
脆弱な乱数発生ルーチン

iOS モバイル・アプリのテスト対象となるセキュリティー問題

AFNetworking フレームワークの脆弱性
クライアント証明書のインポート
資格情報の漏えい
永続的に保管された資格情報
中間者攻撃 (MiTM) によるクロスサイト・スクリプティング
デバッグ・シンボル・プレゼンス
HTTP 要求のハイジャック
HTTPS キャッシング
HTTPS から HTTP へのリダイレクト
情報漏えい
セキュリティーの問題がある、バックグラウンドで実行中のアプリケーション
KeyChain データ保護
証明書のピン留めの欠落
資格情報検証の欠如
マルウェア - XCodeGhost
中間者攻撃 (MiTM)
ドメイン・ネーム検証の欠落
永続的に保管された NSURL 資格情報
ヌル初期化ベクトル
非セキュアなペーストボードの使用
中間者攻撃 (MiTM) によるフィッシング
PIE 保護
プライバシー・リソース・アクセス
IPA のアプリケーションがストリップされていないバイナリーである
トランスポート・セキュリティー - 証明書チェーンの検証
脆弱な SSL 暗号スイートがサポートされている
脆弱な脱獄の検出
脆弱な乱数発生ルーチン
XML 外部エンティティー (XXE) 処理

Web サイトのステージング・スキャンと実動スキャンはどのように違いますか?

実動スキャンはサイトの安定性に影響を与えるリスクが低くなるように設計されており、スキャンがサイトを探索する際に、フォームはサブミットされず、より低い要求速度が使用されます。

Web アプリのテスト対象となるセキュリティー問題

機能の悪用
ブルート・フォース
バッファー・オーバーフロー
コンテンツ・スプーフィング
資格情報/セッション予測
クロスサイト・リクエスト・フォージェリー
クロスサイト・スクリプティング
サービス妨害
ディレクトリー索引付け
書式文字列
HTTP レスポンス分割
情報漏えい
安全でない索引付け
不適切な認証
不適切な許可
不適切なセッション有効期限
不十分なトランスポート層保護
整数オーバーフロー
LDAP 注入
メール・コマンド注入
悪意のあるコンテンツのテスト
NULL バイト・インジェクション
OS コマンド実行
パス・トラバーサル
予測可能なリソースの位置
リモート・ファイル・インクルード
誤ったサーバー構成
セッション固定
SOAP 配列の悪用
SQL 注入
SSI 注入
URL リダイレクターの悪用
XML 属性ブローアップ
XML エンティティーの拡張
XML 外部エンティティー
XML 注入
XPath 注入

注: ステージング・サイトと実動サイトでは同じ問題がテストされますが、一部の問題については、実動テストはステージング・テストほど綿密には行われません。

静的テストを使用した Web アプリのテスト対象となるセキュリティー問題

AppDOS
ブラウザによる機密情報のキャッシング
コメントによる機密情報の漏えい
構成の問題
クロスサイト・スクリプティング (XSS)
DB 接続ストリングの操作
E メール・フィッシング
E メールの改ざん
エンコーディングの必要性
無防備な Web サービス
ファイルの改ざん
ファイルのアップロード
HTTP リクエスト分割
HTTP レスポンス分割
LDAP 注入
オープン・リダイレクト
OS コマンド注入
パス・トラバーサルの潜在的なビジネス・ロジックの問題 (非セキュアなダイレクト・オブジェクト参照もカバー)
特権エスカレーション
RegEx 注入
テスト・コードの削除
SecondOrder 注入
Sensitive Data Exposure (機密データの露出)
ログに保管された機密データ
エラー・メッセージに表示された機密情報
大きすぎるセッション管理タイムアウト値
SQL 注入
暗号化されていない通信
URL の改ざん
暗号として安全でない乱数発生ルーチンの使用
隠しフィールドの使用
非セキュアな暗号化アルゴリズムの使用
安全でないネイティブ・コードの使用
脆弱なアクセス制御
脆弱な認証
XML 注入
XPath 注入
XSLT 注入

静的分析 IRX ファイルとは何ですか? その内容は?

IRX は、暗号化されたセキュアな zip アーカイブで、ご使用のプログラムのすべての静的分析を実行するために必要な情報が含まれています。このファイルは、クラウドへの転送時 (SSL 経由) だけでなく、作成時に保管するときも暗号化されます。

内部的に、IRX アーカイブには以下のファイルおよび成果物が含まれます。

お客様のデプロイ済みソース・コード (例えば、Java バイトコードや .Net MSIL) から作成されたデプロイ可能なプログラム成果物の、IBM が設計した独占所有物である難読化された表記。静的分析スキャンでサポートされている言語について詳しくは、静的分析のシステム要件を参照してください。
セキュリティーの脆弱性について分析対象となり得ると分析されたお客様のプログラムと一緒にデプロイされたランタイム・スクリプト・ファイル (例えば、.js (Javascript) や .rb (Ruby) ファイル)。
アプリケーションまたはプロジェクト階層、およびご使用のプログラムの関係または従属関係について記述した、Static Analyzer 構成ファイル。これにより、ご使用のアプリケーション内のプロジェクト境界を超えて、正確かつ完全なセキュリティー分析を行うことが可能になります。
アーカイブ (診断およびサポート用) の作成時に生成される Static Analyzer ログ・ファイル。