FAQ

Certaines foires aux questions

Dispositif général

Pourquoi mon examen a-t-il échoué ?

Raisons possibles justifiant l'échec ou l'analyse de votre examen :
  • Fichier d'application non valide
  • La stratégie de test que vous avez sélectionnée n'est pas adaptée à votre site/application
  • Plateforme centrale AppScan ne fonctionne pas correctement ou du tout

Si vous parvenez à éviter ces problèmes, votre examen s'effectuera probablement automatiquement et rapidement. Il est particulièrement important si vous intégrez l'examen AppScan 360° dans un processus automatisé. La durée de l'examen sera donc aussi courte que possible.

Combien de temps dure un examen ?

Selon la complexité et la taille d'une application, la durée peut être de quelques minutes, mais elle peut être beaucoup plus longue. Vous pouvez choisir de recevoir un courrier électronique lorsque l'examen est terminé.

Quels sont les problèmes de sécurité que AppScan 360° recherche ?

  • AppDOS
  • Informations sensibles de mise en cache du navigateur
  • Informations sensibles d'affichage de commentaires
  • Problème de configuration
  • Attaque par script intersite (XSS)
  • Manipulation de chaîne de connexion de base de données
  • Hameçonnage de courrier électronique
  • Altération de courrier électronique
  • Codage requis
  • Service Web exposé
  • Altération de fichier
  • Téléchargement de fichiers montant
  • Fractionnement de demande HTTP
  • Fractionnement de réponse HTTP
  • Injection LDAP
  • Redirection ouverte
  • Injection de commandes système
  • Problème de logique professionnelle potentielle de la traversée de répertoires (couvre aussi la référence non sécurisée à un objet direct)
  • Escalade des droits d'accès
  • Injection d'expression régulière
  • Supprimer le code de test
  • Injection de second ordre
  • Exposition des données sensibles
  • Données sensibles stockées dans des journaux
  • Informations sensibles révélées dans un message d'erreur
  • Valeur de délai de gestion de la session trop long
  • Injection SQL
  • Communications non chiffrées
  • Altération d'URL
  • Utilisation du générateur de chiffre aléatoire non sécurisé au niveau cryptographique
  • Utilisation de zones masquées
  • Utilisation d'algorithme de cryptographie non sécurisé
  • Utilisation de code natif non sécurisé
  • Contrôle d'accès faible
  • Authentification faible
  • Injection XML
  • Injection XPath
  • Injection XSLT

Pourquoi l'évaluation des risques de mon application est-elle « Inconnue » ?

L'évaluation des risques est calculée pour une application en fonction de deux facteurs :
  • Problèmes trouvés (par AppScan 360°)
  • Impact sur l'activité (affecté par l'utilisateur)
Si aucun problème n'a encore été trouvé ou si l'impact sur l'activité est « Non spécifié » (valeur par défaut), l'évaluation des risques sera « Inconnue ». Pour modifier l'impact sur l'activité, voir Evaluation des risques.

SAST

Qu'est-ce qu'un fichier IRX d'analyse statique et que contient-il ?

IRX est un fichier .zip chiffré contenant les informations nécessaires à l'exécution d'une analyse statique complète de votre programme. Il est chiffré au repos dès la création, ainsi que lors du transport vers le cloud (sur SSL).

En interne, une archive IRX contient les fichiers et artefacts suivants :

  • Une représentation propriétaire et masquée de vos artefacts de programme déployables, conçue à partir de votre code source déployé (par exemple bytecode Java ou .Net MSIL). Pour savoir quels langages sont pris en charge pour les examens d'analyse statique, voir Configuration requise par le système pour l'analyse statique).
  • Tous les fichiers de script d'exécution déployés avec votre programme qui peuvent être analysés pour détecter des vulnérabilités de sécurité (par exemple des fichiers .js (Javascript) ou .rb (Ruby)).
  • Fichiers de configuration Static Analyzer qui décrivent la hiérarchie de l'application ou du projet et les relations ou dépendances de votre programme. Cela permet de réaliser une analyse de sécurité précise et complète à travers les limites du projet au sein de votre application.
  • Fichiers journaux Static Analyzer générés lors de la création de l'archive (pour les diagnostics et le support).