自動スキャンを実行すると、VexCloudは内部で以下の通り動作いたします。
1. 自動巡回
開始URLを起点に、VexCloudがサイトを自動的に巡回し、URLを収集します。
開始URLの変化
「ログイン設定」のシナリオレコード方式では、自動巡回で利用される開始URLが変化します。詳しくは「ログインシナリオと開始URL」を参照してください。
巡回・収集するURL
以下のすべての条件に合致するURLを巡回・収集します。
- 巡回対象ドメインに設定されているドメインであること
- 通常のブラウザ操作で、開始URLを起点としてたどり着けるURLであること
- (例)
- たどり着けるURL :リンクが貼られている、ajax通信をしている、リダイレクト先 等
- たどり着けないURL:アドレスを直接入力しないと遷移できない 等
- (例)
- 許可URLを設定している場合、許可URLであること
- 禁止URLを設定している場合、禁止URLではないこと
- この巡回中に収集したURLと重複していないこと
- ※ パスやパラメータやHTML内容等により同じ機能と判断したURLを重複とみなします
収集したURL
収集したURLはアセットに登録され、URL一覧から参照できるようになります。
2. スキャン対象URLの抽出
収集したURLのうち「検査対象設定済みドメイン」かつ「URL一覧にてスキャン対象外に設定されていない」かつ「シナリオテスト成功」のURLをスキャン対象とします。
検査対象設定済みドメイン
収集したURLのうち、「検査対象設定済ドメイン」のURLをスキャン対象とします。
※ 「検査対象設定済ドメイン」についてはこちらを参照してください。
URL一覧にてスキャン対象外に設定されていない
URL一覧にてスキャン対象外に設定されているURLはスキャン対象外となります。
シナリオテスト成功
収集したURLのうち、シナリオテストが成功するURLをスキャン対象とします。
シナリオとは、VexCloudが対象URLにたどり着くための手順のことで、シナリオテストとは、VexCloudがその手順により対象URLにたどり着けるかを検証することです。
3. 検査
スキャン対象URLへ検査を行います。
検査の流れ
URLごとに以下の流れで検査を行います。
- 「自動巡回シナリオ」に沿って、VexCloudが内部で疑似的にブラウザ操作を行い、対象URLまでたどり着く
- 対象URLへ検査リクエストを送信する
- 検査リクエストとそのレスポンス等を元に、脆弱性の有無を判定する
自動巡回シナリオ
自動巡回の際にVexCloudが自動で作成します。
URLの「シナリオ」タブにて確認できます。
① 「URL」メニューを選択します
② 任意のURLを選択します
③ 「シナリオ」タブを選択します
④ 「>」ボタンをクリックします
⑤ 自動巡回シナリオを確認できます
自動スキャン時の一部エラー
検査の際に自動巡回シナリオの再現に失敗すると、スキャンログのURLにエラーが表示されます。
※ 対象のURLをスキャンされる場合は、再度自動スキャンを実施するか、シナリオスキャンにて対象URLのシナリオを登録しスキャンしてください。
この時、スキャンログには、「一部エラー」と表示されます。