Exploration enregistrée

La fonction Exploration enregistrée vous permet d'explorer des parties spécifiques de votre application pour « guider » AppScan 360° vers ces zones, en vous assurant qu'elles sont testées dans l'examen DAST et qu'AppScan 360° dispose des informations nécessaires pour parcourir les liens dans un ordre spécifique.

Utilisez Exploration enregistrée lorsqu'une entrée utilisateur spécifique est requise, ou si un site répond uniquement à un type d'outil ou d'appareil différent.

Il existe deux façons d'enregistrer le trafic :
  • Utilisation d'AppScan Activity Recorder (extension pour votre navigateur Web Chrome ou Edge)
  • Utilisation d'HCL AppScan Traffic Recorder (peut être le plus adapté dans le cas des API Web)
Dans les deux cas, le trafic est enregistré dans un fichier DAST.CONFIG.

Vous pouvez également télécharger un fichier de trafic enregistré à l'aide de AppScan Standard ou de AppScan Dynamic Analysis Client (ADAC) et enregistré sous forme de fichier .EXD.

Lorsque vous chargez un fichier comportant plusieurs domaines, ceux-ci sont ajoutés à la liste des « domaines à tester ». Seuls les domaines autorisés ou vérifiés seront testés. AppScan 360° peut uniquement analyser jusqu'à 5 domaines par examen.

Lors de la création de votre examen AppScan 360°, vous pouvez utiliser Exploration enregistrée de trois manières :
  • Utilisation des options de fichier dans Exploration enregistrée :
    • Utiliser les phases d'exploration enregistrée et automatique pour des tests complets : En plus d'une phase d'exploration automatique, AppScan 360° explore l'application automatiquement et teste à la fois votre enregistrement et ses propres données d'exploration.
    • Tester et analyser uniquement les données de l'exploration enregistrée : Durant la phase d'exploration de l'examen, testez uniquement les parties de l'application incluses dans votre enregistrement.
  • Utilisez l'exploration manuelle dans AppScan Standard, enregistrez-la en tant que fichier SCAN, puis chargez le fichier dans AppScan 360° pour créer un examen. L'exploration manuelle dans AppScan Standard est similaire à l'exploration enregistrée dans AppScan 360°.

L'exploration enregistrée s'applique uniquement aux examens DAST. Votre fichier DAST.CONFIG ou .EXD est chargé et les instructions sont configurées dans la phase d'exploration de l'assistant d'examen. Voir Configuration des examens DAST > Explorer.

Pour plus d'informations sur l'enregistrement du trafic, voir Enregistrement du trafic.

Exploration en plusieurs étapes

L'exploration en plusieurs étapes est un type spécifique d'exploration enregistrée, où vous ne montrez pas seulement à AppScan 360° quels liens explorer, mais aussi l'ordre spécifique de l'exploration. Utilisez l'exploration en plusieurs étapes pour tester les parties du site qui ne peuvent être atteintes qu'en envoyant des requêtes dans un ordre spécifique, comme une boutique en ligne où l'utilisateur ajoute des articles dans un panier avant de les payer.

Par exemple, considérons les trois pages suivantes d'un site :
  1. L'utilisateur ajoute un ou plusieurs articles dans un panier.
  2. L'utilisateur remplit les détails pour le règlement et la livraison.
  3. L'utilisateur reçoit la confirmation que la commande est terminée.
La page deux n'est accessible qu'une fois la page une terminée. La page trois n'est accessible qu'une fois la page deux terminée. Il s'agit d'une séquence. Pour pouvoir tester les pages deux et trois, AppScan 360° doit envoyer la séquence correcte de requêtes HTTP avant chaque test.
Dans l'exemple ci-dessus, vous pouvez enregistrer un enregistrement d'exploration guidée (DAST.CONFIG) où vous parcourez la page 1 > la page 2 > la page 3. AppScan 360° extrait les sous-séquences nécessaires de cette séquence, selon les besoins : lors du test de la page deux, il envoie d'abord une requête de page une ; lors du test de la page trois, il envoie la page une suivie de la page deux.
Important : Comme vous devez faire précéder toute étape d'un enregistrement à plusieurs étapes par toutes les étapes précédentes, et qu'une étape particulière peut être testée des centaines de fois dans un examen, l'activation de l'exploration Plusieurs étapes peut considérablement augmenter la durée de l'examen. Vous ne devez utiliser cette exploration que lorsque l'ordre des requêtes est vraiment important pour accéder à une partie spécifique de l'application.

Plusieurs fichiers DAST.CONFIG

Vous pouvez charger plusieurs fichiers pour un seul examen. S'il est activé, le paramètre Plusieurs étapes est appliqué à tous les fichiers. Voir Configuration des examens DAST > Explorer.