QualysGuard リリースノート Web Application Scanning 2.4.1 2013 年 1 月 22 日 QualysGuard WAS 2.4.1 では 使いやすさの向上とレポート機能の拡張が行われました Web アプリケーション ファイルアップロードの改善オプションプロファイルの改善ユーザスコープタグの新規オブジェクトへの適用オンデマンドスキャン (n) 時間後にキャンセルスキャンとスケジュール フィルタの改善カタログ オペレーティングシステムのサポートレポートの改善 API の拡張 (n) 時間後にスキャンをキャンセル Web アプリケーション ファイルアップロードの改善 このリリースでは Selenium スクリプトおよびクライアント証明書を Web アプリケーション設定にインポートする場合のドラッグアンドドロップオプションが追加されました Selenium スクリプトのインポート Selenium スクリプトを巡回設定または認証記録に追加する場合 スクリプトを Import File ウィンドウにドラッグアンドドロップできます 無断複写 転載を禁じます 2013 年クォリスジャパン株式会社 1
クライアント証明書のインポート クライアント証明書ファイルを Import File ウィンドウにドラッグアンドドロップできます パスフレーズが必要な証明書の場合は ファイルをインポートする前にパスフレーズを入力する必要があります オプションプロファイルの改善 除外検索リスト 検索リストを使用して オプションプロファイルの検出範囲に QID を含めるだけでなく スキャン結果から QID を除外できるようになりました Detection Scope で Custom を選択することで スキャン対象を特定の脆弱性に合わせてから 表示を行う脆弱性を指定するための検索リストと 表示を行わない脆弱性を指定するための検索リストを追加します QualysGuard WAS リリースノート 2
ユーザエージェントの設定 このリリースでは オプションプロファイルでユーザエージェントが指定できるようになりました ここに入力される値は Header Injection にある Web アプリケーションの設定で指定される任意のユーザエージェントによって上書きされるので注意が必要です ユーザスコープタグの新規オブジェクトへの適用 このリリースから ユーザが Web アプリケーション オプションプロファイル 総当たり攻撃リスト 検索リスト またはレポートを作成したときに ユーザのスコープを定義しているタグが自動的に新しいオブジェクトに適用されるようになりました ユーザスコープタグは 他のタグの代わりに または他のタグに追加して適用されます この機能は ユーザに完全なスコープとパーミッションを適用するものではありません QualysGuard WAS リリースノート 3
オンデマンドスキャン (n) 時間後にキャンセル 指定した時間の経過後にオンデマンドスキャンをキャンセルするオプションが利用できるようになりました 1 ~ 24 時間の実行時間を指定できます 一度キャンセルすると タスクを再開することはできません このオプションが選択されると 選択した実行時間が経過した後でスキャンは停止し スキャンのステータスは Canceled になります スキャンがキャンセルされる前にセキュリティテストが実行されている場合は 部分的なスキャン結果を使用できることがあります QualysGuard WAS リリースノート 4
スキャンとスケジュール フィルタの改善 特定の Web アプリケーションのスキャンまたはスケジュールのリストに対してフィルタを適用できるように スキャンおよびスケジュールに Web アプリケーションフィルタが追加されました カタログ オペレーティングシステムのサポート カタログエントリでオペレーティングシステム情報が使用できるようになりました オペレーティングシステムはカタログのプレビューパネルに表示され カタログリストにオペレーティングシステムごとのフィルタをかけることができます レポートの改善 ペイロードの強調表示 このリリースでは リクエストパラメータおよびリクエストヘッダの煩雑なペイロードを強調表示することにより Web アプリケーションレポートとスキャンレポートに表示される結果がより見やすくなりました また ページの最後に The reflected string on the response webpage indicates that the vulnerability test was successful( 応答 Web ページに反映されている文字列は 脆弱性テストに成功したことを示しています ) というメッセージが追加されました 注記 : 2012 年 12 月以前に実行されたスキャンの場合 スキャンデータにペイロードの強調表示を行うために必要な情報が含まれていない場合があります QualysGuard WAS リリースノート 5
リクエストパラメータ クエリ文字列パラメータ内にあるペイロードは 赤色で強調表示されます リクエストヘッダ リクエストヘッダ内にあるペイロードは 赤色で強調表示されます 応答 応答内にあるペイロードが強調表示されるのに加えて 応答の最後にインラインメッセージが追加されました QualysGuard WAS リリースノート 6
プレビューパネルからのレポートのダウンロード レポートのプレビューパネルに専用のダウンロードボタンが追加されました API の拡張 (n) 時間後にスキャンをキャンセル 新規スキャン開始 API(/qps/rest/3.0/launch/was/wasscan) を使用してオンデマンドスキャンを開始する API に 新しい要素が追加されました 新しいオプション要素である cancelafternhours を使用すると スキャンがキャンセルされるまでの時間を指定できます. これが指定されると 選択した実行時間が経過した後でスキャンは停止し スキャンのステータスは Canceled になります スキャンがキャンセルされる前にセキュリティテストが実行されている場合は 部分的なスキャン結果を使用できることがあります これが使用されると この要素はスキャン詳細の表示 API(/qps/rest/3.0/get/was/wasscan/<id>) を使用して返された XML 出力 およびスキャン API(/qps/rest/3.0/download/was/wasscan/<id>) の取得結果に含まれます 例 新しいスキャンの開始 ID 323126 の Web アプリケーションで ID 1021 のオプションプロファイルを使用して新しい検出スキャンを開始します 1 時間後にスキャンがキャンセルされるように設定します リクエスト : curl -u "USERNAME:PASSWORD" -H "content-type: text/xml" -X "POST" -d @- "https://qualysapi.qualys.com/qps/rest/3.0/launch/was/wasscan" < file.xml 注記 : file.xml には リクエスト POST データが含まれます リクエスト POST データ : <ServiceRequest> <data> <WasScan> <name>new scan launched from API</name> <type>discovery</type> <target> <webapp> <id>323126</id> </webapp> QualysGuard WAS リリースノート 7
</target> <profile> <id>1021</id> </profile> <options> <WasScanOption> <name>cancel After N Hours</name> <value><![cdata[1]]></value> </WasScanOption> </options> </WasScan> </data> </ServiceRequest> Response: <?xml version="1.0" encoding="utf-8"?> <ServiceResponse xmlns:xsi="http://www.w3.org/2001/xmlschema-instance" xsi:nonamespaceschemalocation="https://qualysapi.qualys.com/qps/xsd/3.0/was/wa sscan.xsd"> <responsecode>success</responsecode> <count>1</count> <data> <WasScan> <id>16954</id> </WasScan> </data> </ServiceResponse> QualysGuard WAS リリースノート 8