3)テストフェーズ
探査フェーズで取得したURLとパラメータの情報をもとにテストを実施する。
このフェーズでは、検査対象としたURLとそのパラメータ、Cookieに対して、ひとつずつテストパターンを設定して、リクエストを作成し、送信する。これを全てのテストパターンについて繰り返す。
単純に繰り返すだけでは、セッションが切断された場合などにテストが正常に実行できなくなる。そのような場合に対応するため、設定フェーズで記録したログイン情報を使って確実なセッション維持を行うよう工夫されている。
AppScanでは以下で説明する動作によってセッション状態を監視、維持して、テストを実施する。
※クリックすると拡大画像が見られます。
テストを開始すると、AppScanは設定フェーズで記録したログインプロセスを送信。その後、「リクエスト5」などへのテストリクエストを送信する。
デフォルトでは5秒に1回ログイン状態かどうかを確認するリクエストを送信する。この例では、「画面C」がログイン後の画面であるため、「リクエスト2」を送信し、ログイン状態を示す文字列があるかどうかを確認する。ログイン状態ではないとAppScanが判断した場合、再度ログインプロセスを送信し、常にログインしている状態でテストを実施する。
テストの結果は、下図のように確認することができる。
アドバイザリ(※クリックすると拡大画像が見られます)。
修正方法(※クリックすると拡大画像が見られます)。
リクエストとレスポンス(※クリックすると拡大画像が見られます)。
