1.拡張処理とは
拡張処理は、検査対象へのリクエスト送信後に行う処理です。
検査対象メッセージIDへの検査リクエスト送信後に、拡張処理の設定で指定したメッセージIDへ続けてアクセスし、検査の判定を行いますが、拡張処理の設定で指定したメッセージIDには検査パターンは送信されません。
また、後処理が同時に設定されている場合は、後処理の前に実行されます。
拡張処理のHandlerは、主に以下のような目的に利用します。
・格納型XSSへの脆弱性の検出
<イメージ図>
上記のイメージ図では、検査対象の「完了画面」の処理が実行された際に、検査対象サーバのデータベースへのデータの読み書きが動作し、その後、「参照画面」において登録されたデータが利用されます。
検査の過程で送信された検査パターンにおいても同様のフローで、データベースに記録されてしまいますが、その登録された検査パターンが、他の画面(参照画面)の処理において脆弱性が存在する可能性があります。
「拡張処理」を利用することで、検査時に送信した検査パターンを継続して追いかけ、指定した画面において脆弱性対策がされているかの検査判定が実行されます。
なお、拡張処理は後処理と同様に、検査対象へのリクエスト送信後に行う処理ですが、後処理との違いは検査判定の実施有無となります。
後処理はアクセスのみを行い、検査の判定は実施しませんが、拡張処理はアクセスに加えて、検査の判定を実施します。
なお、「拡張処理」にはデフォルトで「自動拡張」が設定され、リダイレクトやフレームに対しても検査を実施します。「自動拡張」を解除したい場合は、以下の手順にて可能です。
<設定手順>
Web「計画」>「Web検査設定」>「自動拡張処理」を「なし」に変更する
※各プロジェクト毎に設定可能です。
2.拡張処理のテンプレート
拡張処理のテンプレートとそれぞれの設定可能な入力項目は、下記になります。
・ログ一覧からHandlerをご利用の場合
「パラメータ自動引継ぎ」の利用を推奨いたします。
・シナリオマップ機能(Vex9.0以降)をご利用の場合
テンプレートは「シナリオマップ専用」固定となります。
「パラメータ引継ぎ」の項目で、既存の入力項目全ての内容に対応可能です。
[関連FAQ]「Handlerの設定項目について」
※1 シナリオマップ機能(Vex9.0以降)内でのみご利用いただけます。
コメント
0件のコメント
サインインしてコメントを残してください。