VAddyでは検査対象とするURIの情報を事前にVAddyサーバーに登録する必要があります。
※VAddyは対象サイトの全てを自動クロールしてスキャンすることは行いません。
お手元のブラウザのProxy設定にVAddy ProxyのIPアドレス/ポート番号を登録し、その後にお客様のWebアプリケーションを実際に操作して頂きます。
<検査対象のWebサーバとVAddyとの接続>
PrivateNet用VAddyツールの、vaddy_privatenet.sh connectコマンドを実行します。 これで、あなたのWebサーバとVAddyのサーバが繋がった状態になります。
このコマンドを実行し、問題がなければそのままコマンドが終了しますが、裏ではsshコマンドが実行され、サーバと繋がった状態が維持されています。
下記に説明するクロールが完了した後は、vaddy_privatenet.sh disconnectコマンドを実行して接続を終了します。
PrivateNet版VAddyの動作を詳しく知りたい場合は、仕組みを詳解しているページをご覧ください。
<ブラウザのプロキシ設定>
VAddy ProxyのIPアドレス/ポート番号はメニューの「Proxy Crawling」から確認ください。
<Firefoxのプロキシ設定例>
Firefoxの場合は、「ツールメニュー」>「詳細」>「ネットワーク」タブ>「接続設定」からプロキシ設定画面に移り、「手動でプロキシを設定する」を選択してIPアドレスとポート番号を入力します。
もしSSLを使ったWebアプリケーションの場合は、「全てのプロトコルでこのプロキシを使用する」にチェックを入れてください。
「プロキシなしで接続」のテキストボックス欄に、console.vaddy.net と記載しておいて頂くと、クロール中もvaddyの管理画面が参照できて便利です。また、外部のJavaScriptファイルを読み込むサイトなどの場合は、VAddyの検査はしなくてもクロール中には該当ライブラリへのアクセスが必要になります。設定の詳細は 外部サイトからライブラリを読み込んでいるアプリケーションのクロール方法は? をご覧ください。このプロキシなしで接続の欄に検査対象のFQDNは記載しないようにお願いします(クロールが記録されないため)
ここから先は一度VAddy管理画面から離れます。
以下のフローは別タブ(ウィンドウ)で実行してください。
<クロールの実行>
VAddyのクロールは【STEP1】で設置した認証ファイルに「action=begin」を渡すことで開始され、「action=commit」を渡すことで終了します。クロール開始と終了のURLは、「Proxy Crawling」画面に表示されますので、それをコピーして利用すると便利です。
例えば検査対象サーバがexample.com、認証ファイルが「vaddy-12345abc.html」だった場合、
http://example.com/vaddy-12345abc.html?action=begin →クロール開始
http://example.com/index.php →検査対象のWeb画面操作
http://example.com/vaddy-12345abc.html?action=commit →クロール終了
というような順序でアクセスしてください。
※クロールする対象がhttps接続だった場合に証明書エラーが表示される場合があります。
→証明書エラーが表示された場合の設定例
<クロール開始>
認証ファイルにパラメータ「action=begin」を渡すとクロールが開始されます。
<クロール例>
※以下は簡単なアプリケーションの例です。
ご自身のアプリケーションにアクセスして実際に操作してください。
その後、上記のように検査対象となるWebアプリケーションを実際に操作してください。
この例では、名前入力欄のパラメータとURL入力欄のパラメータが検査対象となります。
特に、ログイン画面、フォームでの登録画面、GETのパラメータを含む画面にアクセスすると効果的に検査できます。
【関連リンク】
- FAQ:どのようにクロールするのが良いですか?
- FAQ:クロールを途中でキャンセルしたい
- おすすめのVAddy利用方法:クロールの分割管理
<クロール終了>
認証ファイルにパラメータ「action=commit」を渡すとクロールは終了です。
※管理画面での操作に戻る際、先ほど設定したブラウザのプロキシ設定を元に戻してください。
<検査対象のWebサーバとVAddyとの接続を切断>
クロールが完了した後は、vaddy_privatenet.sh disconnectコマンドを実行して接続を終了します。
ここで再びVAddy管理画面に戻ります。
<クロール結果>
クロールの結果は左メニュー「Proxy Crawling」で確認できます。
<参考>Selenium IDEでの実行例
すでにSelenium IDE等でテストケースが用意されている場合、テストケースの最初と最後にクロール開始URL/クロール終了URLを追記していただくだけでVAddyのクロール設定は完了します。