A propos de l'analyse dynamique (DAST)
Un examen AppScan 360° dynamique (DAST) se compose de deux phases : exploration et test. Même si la majeure partie du processus d'examen est transparente pour l'utilisateur et qu'aucune entrée n'est nécessaire tant que l'examen n'est pas terminé, une bonne compréhension du fonctionnement de l'examen dynamique permet de mieux appréhender le rôle de l'examen dans votre processus de développement.
Etape 1 : Explorer
La phase d'exploration peut être exécutée automatiquement dans le cadre d'un examen automatique, manuellement par l'utilisateur ou une combinaison des deux.
Lors de la première phase, et à partir de l'URL que vous configurez, AppScan 360° explore votre application en simulant un utilisateur Web qui clique sur des liens, remplit des champs de formulaire et acquiert une compréhension de la structure de l'application.
AppScan 360° analyse les réponses à chaque requête d'exploration, en identifiant toute indication liée à une vulnérabilité potentielle. Lorsqu'AppScan 360° reçoit une réponse pouvant indiquer une vulnérabilité de sécurité, il crée un ou plusieurs tests basés sur la réponse et note les règles de validation nécessaires pour déterminer quels résultats constituent la vulnérabilité ainsi que le niveau de risque de sécurité impliqué.
Avant d'envoyer les tests créés spécifiques au site, AppScan 360° envoie plusieurs requêtes syntaxiquement incorrectes à l'application pour déterminer la manière dont elle génère des messages d'erreur. Ces informations sont ensuite utilisées pour améliorer la précision du processus de validation de test automatique d'AppScan 360°.
Au cours d'un examen type, la phase d'exploration visant à détecter l'application s'exécute automatiquement. Vous pouvez cependant configurer AppScan 360° pour explorer des parties spécifiques du site ou pour envoyer des requêtes dans un ordre spécifique, à l'aide de la fonction Explorer avec guide. Voir Explorer avec guide.
Etape 2 : Test
Lors de la seconde phase, AppScan 360° envoie les milliers de requêtes de test personnalisées créées pendant la phase d'exploration. Il enregistre et analyse la réponse de l'application pour chacun des tests à l'aide des règles de validation personnalisées. Ces règles permettent à la fois d'identifier les problèmes de sécurité au sein de l'application et de classer leur niveau de risque de sécurité.
Phases de l'examen
En pratique, la phase de test révèle souvent de nouveaux liens au sein d'une application, et davantage de risques potentiels pour la sécurité. Cependant, une fois la première phase d'exploration et de test terminée, AppScan 360° commence automatiquement une seconde phase afin de traiter les nouvelles informations. Si de nouveaux liens sont découverts pendant la deuxième phase, une troisième phase est exécutée, etc.
La détection de nouveaux liens lors de la phase de test déclenche un changement du nombre de tests attendus affichés lors de l'exécution. Une fois le nombre de phases d'examen configuré atteint, l'examen s'arrête et les résultats obtenus sont mis à la disposition de l'utilisateur.
Le nombre de phases par défaut est quatre. Cette valeur ne peut pas être modifiée dans AppScan 360°, mais si un numéro différent est configuré dans un fichier de configuration (DAST.CONFIG
)fichier d'examen (.scan
) ou modèle d'examen (.scant
) téléchargé, ce nombre de phases sera exécuté.