この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
コンサルティング部の中川です。
前回、AeyScanの自動巡回機能を使い、診断ページを自動取得した脆弱性診断を紹介しました。
今回はAeyeScanの 手動巡回機能 を試す機会がありましたので、こちらを紹介します。
手動巡回機能は、ブラウザ上で操作した記録を元に診断できる機能です。
基本的にAeyeScanでは自動巡回機能で診断ページを取得しますが、サイトの特性によっては自動でページを取得できていないことがあります。また、サイト全体ではなく特定のページに絞って診断を行いたいときには自動巡回機能では時間がかかり効率的でないことがあります。
このようなケースでは手動巡回機能を使って個別にページを取得することで解決します。
やってみた
以下の流れで、手動巡回機能を使って診断ページの取得をします。
- AeyeScan Recorderのインストール
- 操作を記録
- 手動巡回
診断対象の環境には前回と同じくサンプルのECサイトを使用します。
また、前提として自動巡回は事前に実施済みでドメインやスキャンの登録はされているものとして進めていきます。
1.AeyeScan Recorderのインストール
手動巡回をするため、Chromeのプラグイン「AeyeScan Recorder」を導入します。
プラグインを追加する前に、Chromeのプロファイルを新規作成します。
プラグインはブラウザの履歴を削除するため、通常利用のプロファイルとは分けてプラグイン用のプロファイルを用意することをお勧めします。
プロファイルを用意できたら、以下のリンクからプラグインをインストールします。
AeyeScan Recorder - Chrome ウェブストア
プラグインの導入が完了しました。
2. 操作を記録
続いて、インストールしたプラグインの設定をして、操作を記録します。
プラグイン開いて、開始URLを入力します。スマートフォン専用サイトの巡回を行う場合は、サイトタイプで Mobile を選択します。
[開始] をクリックすると、新しいブラウザウィンドウが開きます。開いたウインドウで記録したい操作をします。ここでは数ページをクリックし記録しました。(プラグインで使用できる操作については後述します)
操作が完了したら、またプラグインを開き、[終了] をクリックします。
ファイルの保存画面が表示されるので、保存して記録が完了となります。
3. 手動巡回
記録したファイルをAeyeScanにアップロードして手動巡回をしていきます。
AeyeScanにログインし、 [スキャン一覧] を表示します。今回は自動巡回の設定を引き継いで手動巡回をするため、既存のスキャンのメニューから [コピー] をクリックします。
コピーされたスキャンのメニューから [手動巡回インポート] をクリックします。
[新規インポート] をクリックします。
名前を任意に入力、[ファイルを選択]から2. で取得したファイルを選択します。最適化のオプションは、画面のアクセス順序を変更してスキャン時間の短縮するための機能です。ここでは有効にせず進めます。
[インポートをする] をクリックして、手動巡回を開始します。
画面遷移図が表示され、記録した操作がAeyeScan上で表示されていきます。
操作した記録をもとに診断できるようになりました。以上で、手動巡回は完了です。
AeyeScan Recorderの留意事項
プラグイン AeyeScan Recorder では以下の操作がサポートされています。
- マウス移動
- クリック
- アップロードファイルの選択
- 文字入力
- 選択肢を選択
- ブックマークを開く、URLバーへの直接入力
また、記録中は以下の操作を行えませんので注意します。
- 新しいタブや新しいウインドウを開くことができない
- 「戻る」「進む」を実行できない
さいごに
AeyeScan の手動巡回機能を使ってみました。
プラグインをインストールするだけで簡単にページを取得できることを確認しました。
まずは自動巡回機能でページを自動取得してみて、もし自動で取得できない場合には補完として手動巡回機能を、と使い分けたいと思います。
5
