シナリオ診断では、自身で作成した診断シナリオをもとに脆弱性診断が実行できます。
「シナリオ診断」でできること
診断対象の新規登録
1.診断対象右上の「+新規登録」>「シナリオ診断」をクリック。
2.表示されるポップアップ画面へ以下の必要情報を入力し「登録する」をクリック。
- 診断名:任意の診断名を入力
- シナリオファイル:Chrome DevToolsで作成したシナリオファイルをアップロード
※Chrome DevToolsの詳細情報はこちらをご確認ください。
シナリオの作成方法
1.シークレットウィンドウを開いて、診断対象アプリケーションのログイン画面に遷移する。
2.ブラウザの右上の「︙ボタン」>「その他のツール」>「デベロッパー ツール」をクリックする。
3.「>>ボタン」>「レコーダー」をクリック。
4.「新しい記録を作成」をクリック。
5.Chrome DevToolsの詳細設定を行う。
下記の情報を設定し、「記録を開始」をクリックしてください。
- 記録名:任意の内容を入力
- セレクタの属性:入力不要
- 記録するセレクタの種類:CSSとXPathを選択
6.シナリオファイルを作成する。
シナリオは診断対象へログインする操作から開始してください。
作成が終わったら画面中央下の「記録を終了」をクリックしてください。
シナリオは30分程度で再生できるものを作成してください。
7.リプレイしてシナリオが問題なく再生できることを確認する。
リプレイの右の下矢印をクリックしてください。
速度の「遅い」をクリックしてリプレイをしてください。
リプレイでエラーになる場合は、URLを参考にタイムアウト設定を行ってください。
8.JSON形式でシナリオファイルをダウンロードする。
シナリオ作成時の制約と注意点
制約事項
Chromeのバージョン101以降で利用可能です。
注意点
・必ず Google Chrome のシークレットモードを使って作成してください。
・ログインページからシナリオは作成してください。
・Basic認証がある場合はBasic認証を外してください。
・不要なクリックやボタン操作は極力入れないようにしてください。
(※レコーダー認証時の注意点)
・必ず「再現性のある」シナリオを作成してください。
再現性のあるシナリオとは、 何回も同じ動作をしても同じ結果になるシナリオを指します。
・同一内容のデータを複数回登録できないといった制約がある場合は登録したデータを削除して、再現性を担保する必要があります。例えば、以下のような流れとなります。
1. ログインする
2. 新規でデータを登録する画面に遷移する
3. 新規でデータを登録する
4. 2で登録したデータを削除する
5. トップページに戻る
6. ログアウトする
・日付等のカレンダーが出てくるなどのテキストでインプットをしない内容について、レコードすると正常に反応できない場合があります。その場合は、テキストでインプットしてください。