Web Application Scanning 3.5 リリースノート 2014 年 7 月 23 日 QualysGuard WAS 3.5 では 組織が利用している Web アプリケーションポートフォリオ全体にわたる大量かつ完全自動化された Web アプリケーションスキャンに対応できる新機能を提供します 主な機能の概要 カスタムフォームパラメータスキャン時間の予測の改善収集情報の QID - 検出の詳細の更新 API の機能拡張 カスタムフォームパラメータ ユーザは カスタムフォームパラメータセットを設定することで Qualys が提供した既存のデフォルト値を無効にすることができます それぞれのカスタムパラメータセットにより スキャン時に対象となる Web アプリケーションに挿入するリクエストパラメータの設定が決まります パラメータセットは 必要に応じていくつでも無制限に定義できます カスタムパラメータセットのリストの表示 - 別名で保存 を使用して既存のセットを変更 Initial Parameters Qualys では Initial Parameters セットを用意しています オプションプロファイルを作成すると デフォルトでこのパラメータセットが選択されます 別のパラメータセットをデフォルトに設定することもできます 無断複写 転載を禁じます 2014 年クォリスジャパン株式会社 1
パラメータセット名の設定およびユーザスコープを定義するタグの適用 カスタムパラメータの定義 - デフォルトを変更 新しいユーザパーミッション マネージャなど すべてのパーミッションとスコープを持つユーザは 次の操作が可能です - サブスクリプション内のすべてのパラメータセットの表示 作成 編集 削除 - パラメータセットの表示 作成 編集 削除を行うパーミッションが付与されるユーザの継続的な管理 ヒント - ユーザにパーミッションを付与するには Administration ユーティリティを選択し 次のように編集を行います 1) ユーザの割り当てられたロールの 1 つを編集し パーミッションの編集で WAS Configuration Permissions ( リクエストパラメータセットの作成 / 更新 / 削除 ) を設定します 2) スコープを編集 で パラメータセットに適用したタグの 1 つを追加します Qualys WAS リリースノート 2
オプションプロファイルへのカスタムパラメータセットの適用 - カスタムパラメータ適用後のプロファイルを使用してスキャン スキャン時間の予測の改善 スキャンの進行状況のステータスに関する機能が拡張され 以前のスキャンに基づいてスキャンの終了時間をより正確に予測することができるようになりました これまでのスキャン時間の予測では スキャン中の応答時間やその他の収集情報のプロファイリングに基づいて行われていました Web アプリケーションを最初にスキャンする場合は 引き続きこの方法が使用されます スキャンの進行状況における残りのスキャン時間の表示 - 以前のスキャンから予測した時間 Qualys WAS リリースノート 3
これまでのスキャン時間と比較したスキャンの進行状況の表示 - 所要時間が通常より長いスキャンは アプリケーション応答が遅い場合が多いことがわかる 収集情報の QID - 検出の詳細の更新 UI およびすべてのレポート形式で 収集情報の QID の検出の詳細が変更されました 検出の詳細には Detection Date が表示されます ( これは 最新スキャンの検出日です ) 収集情報の QID の検出の詳細に 初回の検出 前回の検出 前回のテスト が含まれなくなりました 確認済みの脆弱性 / 潜在的な脆弱性の QID の検出の詳細に変更はありません スキャンレポート (HTML) - 収集情報の QID の詳細 Qualys WAS リリースノート 4
Web アプリケーションレポート (PDF) - 収集情報の QID の詳細 スキャンレポート (XML) - 収集情報の QID の詳細 スキャンレポート XML 出力の <LAST_TIME_DETECTED> タグは 最新の検出日を表します <FIRST_TIME_DETECTED> と <LAST_TIME_TESTED> のタグは XML 出力に表示されません <INFORMATION_GATHERED_LIST> <INFORMATION_GATHERED> <ID>33897328</ID> <QID>6</QID> <LAST_TIME_DETECTED>2014-07-15T07:17:42Z</LAST_TIME_DETECTED> <DATA base64="true"><![cdata[i3rhymxlcklqx2fkzhjlc3mgsg9zdf9uyw1lcgoxmc4xmc4yni4ymzggtm9fcmv naxn0zxjlzf9ob3n0bmftzqo]]></data> </INFORMATION_GATHERED> <INFORMATION_GATHERED> <ID>33897332</ID> <QID>45017</QID> <LAST_TIME_DETECTED>2014-07-15T07:17:42Z</LAST_TIME_DETECTED> <DATA base64="true"><![cdata[i3rhymxlignvbhm9ijmick9wzxjhdgluz19texn0zw0gvgvjag5pcxvlielecgp MaW51eF8yLjQtMi42Xy9fRW1iZWRkZWRfRGV2aWNlXy9fRjVfTmV0d29ya3NfQmlnLUlQIFRDUC9JUF9GaW5nZ XJwcmludCBVMTE0MTo4MAo]]></DATA> </INFORMATION_GATHERED> Qualys WAS リリースノート 5
スキャンレポート (CSV) - 収集情報の QID の詳細 Web アプリケーションの検出 ( Web アプリケーション 検出 ) - 収集情報の QID の詳細 Qualys WAS リリースノート 6
API の機能拡張 スキャン詳細の取得 API(<baseURL>/qps/rest/3.0/get/was/wasscan/<id>) によって スキャンに適用されたリクエストパラメータセットが返されるようになりました <baseurl> について : これは ご使用の Qualys アカウントが所属する Qualys API サーバの URL です US プラットフォーム 1 のアカウントの場合は <qualysapi.qualys.com> US プラットフォーム 2 の場合は <qualyspai.qg2.apps.qualys.com> EU プラットフォームの場合は <qualysapi.qualys.eu> です API リクエスト : curl -u "USERNAME:PASSWORD" -H "content-type: text/xml" "http://qualysapi.qualys.com/qps/rest/3.0/get/was/scan/801678" XML 出力 ( パラメータセットは Initial Parameters ): <?xml version="1.0" encoding="utf-8"?> <ServiceResponse xmlns:xsi="http://www.w3.org/2001/xmlschema-instance" xsi:nonamespaceschemalocation="http://qualysapi.qualys.com/qps/xsd/3.0/was/scan.xsd"> <responsecode>success</responsecode> <count>1</count> <data> <WasScan> <id>801678</id> <name><![cdata[my Scan]]></name> <reference>was/1405370728457.1775165</reference> <type>vulnerability</type> <mode>ondemand</mode> <multi>false</multi> <target> <webapp> <id>2112993</id> <name><![cdata[my Scan]]></name> <url><![cdata[http://10.10.31.55/merchant/2.2/themerchant]]></url> </webapp> <webappauthrecord> <id>128557</id> <name><![cdata[myy Authentication Record]]></name> </webappauthrecord> <scannerappliance> <type>external</type> </scannerappliance> </target> <profile> <id>160333</id> <name><![cdata[300 links]]></name> </profile> <options> <count>14</count> <list> <name>web Application Authentication Record Name</name> <value><![cdata[my Authentication Record]]></value> <name>detection Scope</name> <value><![cdata[complete]]></value> <name>sensitive Content: Custom Contents</name> <value><![cdata[zip code social security password]]></value> Qualys WAS リリースノート 7
<name>scanner Appliance</name> <value><![cdata[external (IP: 10.10.21.148, Scanner: 7.8.37-1, WAS: 3.6.35-1, Signatures: 2.2.752-1)]]></value> <name>target URL</name> <value><![cdata[http://10.10.31.55/merchant/2.2/themerchant]]></value> <name>performance Settings</name> <value><![cdata[low]]></value> <name>sensitive Content: Social Security Numbers (US)</name> <value><![cdata[true]]></value> <name>sensitive Content: Credit Card Numbers</name> <value><![cdata[true]]></value> <name>maximum Crawling Links</name> <value><![cdata[300]]></value> <name>bruteforce Settings</name> <value><![cdata[minimal]]></value> <name>option Profile Name</name> <value><![cdata[300 links]]></value> <name>crawling Form Submissions</name> <value><![cdata[both]]></value> <name>request Parameter Set</name> <value><![cdata[initial Parameters]]></value> <name>web Application Name</name> <value><![cdata[my Web Application]]></value> </list> </options> <launcheddate>2014-07-14t20:45:28z</launcheddate> <launchedby> <id>45941</id> <username>acme_ss</username> <firstname><![cdata[sarah]]></firstname> <lastname><![cdata[smith]]></lastname> </launchedby> <status>finished</status> <scanduration>385</scanduration> </WasScan> </data> </ServiceResponse> Qualys WAS リリースノート 8
XML output (custom parameter set name): <?xml version="1.0" encoding="utf-8"?> <ServiceResponse xmlns:xsi="http://www.w3.org/2001/xmlschema-instance" xsi:nonamespaceschemalocation="http://qualysapi.qualys.com/qps/xsd/3.0/was/scan.xsd"> <responsecode>success</responsecode> <count>1</count> <data> <WasScan> <id>34593</id>... <options> <count>14</count> <list>... <name>request Parameter Set</name> <value> <![CDATA[My custom parameter set]]> </value>... </list> </options>... </WasScan> </data> </ServiceResponse> Qualys WAS リリースノート 9