メインコンテンツへスキップ

【Webアプリケーション診断/WordPress診断】診断タイプ

シナリオ診断

シナリオ診断では、自身で作成した診断シナリオをもとに脆弱性診断が実行できます。

「シナリオ診断」でできること

診断対象の新規登録

1.診断対象右上の「+新規登録」>「シナリオ診断」をクリック。

____00.png

2.表示されるポップアップ画面へ以下の必要情報を入力し「登録する」をクリック。

  • 診断名:任意の診断名を入力
  • シナリオファイル:Chrome DevToolsで作成したシナリオファイルをアップロード

__________2023-04-21_17.34.10.png

※Chrome DevToolsの詳細情報はこちらをご確認ください。

シナリオの作成方法

1.シークレットウィンドウを開いて、診断対象アプリケーションのログイン画面に遷移する。

2.ブラウザの右上の「︙ボタン」>「その他のツール」>「デベロッパー ツール」をクリックする。

____01.png

3.「>>ボタン」>「レコーダー」をクリック。

____02.png

4.「新しい記録を作成」をクリック。

____03.png

5.Chrome DevToolsの詳細設定を行う。

下記の情報を設定し、「記録を開始」をクリックしてください。

  • 記録名:任意の内容を入力
  • セレクタの属性:入力不要
  • 記録するセレクタの種類:CSSとXPathを選択

6.シナリオファイルを作成する。

シナリオは診断対象へログインする操作から開始してください。

作成が終わったら画面中央下の「記録を終了」をクリックしてください。

シナリオは30分程度で再生できるものを作成してください。 ____06.png 

7.リプレイしてシナリオが問題なく再生できることを確認する。

リプレイの右の下矢印をクリックしてください。

速度の「遅い」をクリックしてリプレイをしてください。

______.png

リプレイでエラーになる場合は、URLを参考にタイムアウト設定を行ってください。

8.JSON形式でシナリオファイルをダウンロードする。 

____05.png

シナリオ作成時の制約と注意点

制約事項

Chromeのバージョン101以降で利用可能です。

注意点

・必ず Google Chrome のシークレットモードを使って作成してください。

・ログインページからシナリオは作成してください。

・Basic認証がある場合はBasic認証を外してください。

・不要なクリックやボタン操作は極力入れないようにしてください。

・必ず「再現性のある」シナリオを作成してください。

再現性のあるシナリオとは、 何回も同じ動作をしても同じ結果になるシナリオを指します。

・同一内容のデータを複数回登録できないといった制約がある場合は登録したデータを削除して、再現性を担保する必要があります。例えば、以下のような流れとなります。

1. ログインする

2. 新規でデータを登録する画面に遷移する

3, 新規でデータを登録する

4. 2で登録したデータを削除する

5. トップページに戻る

6. ログアウトする

・日付等のカレンダーが出てくるなどのテキストでインプットをしない内容について、レコードすると正常に反応できない場合があります。その場合は、テキストでインプットしてください。