微細なレベルでウェブアプリケーションをスキャンすることが、特に重要です。なぜなら、インターネット上に公開したアクセス可能なホストは、攻撃対象となるからです。認証による内部アクセスをスキャンに与えることで、SQL インジェクションやクロスサイトスクリプティングといったクリティカルな脆弱性について、ウェブアセットを検査できます。
ウェブアプリケーションについては2つの認証方法を利用可能です:
一部のケースでは、フォームを利用することが不可能であるかもしれません。例えばフォームが、チャレンジ/レスポンス型テスト(CAPTCHA)またはコンピュータプログラムによるログオンを防止するよう設計された類似の要求を使用する場合が考えられます。またはJavaScriptを使用する場合がありますが、これはセキュリティ上の理由からサポートされていません。これらの状況がウェブアプリケーションに適用されている場合、以下の方法によるアプリケーションの認証が可能であるかもしれません。
使用する認証方法は、使用しているウェブサーバーおよび認証アプリケーションにより異なります。より良く機能する方法を決定するために、ある種の試行錯誤を経験する場合があります。本機能を利用する前に、ウェブサイトのデベロッパーに問い合わせることをお薦めします。
注意: ベーシック認証または統合Windows認証(NTLM)により使用が難しくなっているHTTPサーバーについては、ウェブサイトHTTP認証 と呼ばれるサービスを利用して、スキャン認証資格情報(credentials)セットを設定します。 本サービスを追加するには、認証資格情報を追加 を選択してからサイト設定の 認証 タブで アカウント を選択します。1ページのスキャン認証資格情報(credentials)を設定するスキャン認証資格情報(credentials)を設定するをご覧ください。
.