Déploiement d'un agent IAST .NET

Vous pouvez déployer un agent IAST sur le serveur d'applications qui prend en charge les applications Java, .NET, Node.js ou PHP. Cette section explique comment créer un type d'agent .NET sur votre serveur Web.

Avant de commencer

Si le serveur qui exécute IAST se trouve derrière un proxy, l'agent IAST.NET prend en charge deux façons de configurer un proxy HTTP sortant :
  1. Paramètres de proxy du système, qui sont automatiquement détectés à partir des paramètres du système d'exploitation standard ou des variables d'environnement HTTP_PROXY, HTTPS_PROXY.
  2. Paramètres de proxy spécifiques à IAST, définis avec les variables d'environnement de l'application. Configurez-les comme suit :
    IAST_PROXY_HOST={proxy_ip}
                            IAST_Deploy_dot_net.html

Si les variables spécifiques à l'application sont définies, elles sont prioritaires. Sinon, le proxy système est utilisé. Si aucun des deux n'est défini, l'application se connecte directement. Les paramètres de proxy sont lus au démarrage ; des modifications nécessitent un redémarrage. Consultez le journal IAST pour vérifier que le proxy est correctement configuré.

Pourquoi et quand exécuter cette tâche

Utilisez le gestionnaire de packages NuGet pour ajouter l'agent IAST à votre application. L'exemple ci-dessous s'applique à Visual Studio, mais la procédure est similaire pour d'autres IDE.

Procédure

  1. Configurer la source du package NuGet :
    1. Ouvrez Visual Studio et accédez à Menu > Outils > Options > Gestionnaire de packages NuGet > Source du package.
    2. Sélectionnez le dossier contenant le package SecAgent.
    3. Cliquez sur le signe + et donnez un nom à la nouvelle source.
  2. Identifier les projets de serveur Web : L'agent IAST doit uniquement être installé sur vos projets de serveur Web qui sont généralement responsables de la diffusion de contenu Web (par exemple, projets ASP.NET Core ou ASP.NET MVC). Identifiez ces projets en recherchant des fichiers tels que Startup.cs ou Controllers, ou des dossiers wwwroot.
  3. Installer l'agent IAST NuGet : Dans l'explorateur de solutions, cliquez avec le bouton droit de la souris sur le projet de serveur Web et sélectionnez Gérer les packages NuGet. Recherchez com.HCL.AppScan.IAST.agent et sélectionnez le premier package dans les résultats. Cliquez sur Installer. Répétez cette étape pour chaque projet de serveur Web de votre solution.
  4. Définir la variable d'environnement (pour .NET Core uniquement) : si vous utilisez .NET Core, définissez la variable d'environnement suivante : 
    "ASPNETCORE_HOSTINGSTARTUPASSEMBLIES": "SecagentCore"
  5. Vérifier l'installation : vérifiez que l'installation a été effectuée.
    1. Pour .NET Framework : ouvrez le fichier Web.config et assurez-vous que les lignes suivantes sont ajoutées par l'installation de NuGet. Si ces lignes ne sont pas ajoutées automatiquement, cela indique que l'installation a échoué : 
      <system.webServer>
                                    <modules>
                                      <add name="SecagentModule" type="Secagent.SecagentModule" preCondition="managedHandler" />
                                    </modules>
                                  </system.webServer>
                                ...
                                  <appSettings>
                                    <add key="IASTAgentKey" value="<token to access ASoC IAST session>" />
                                    <add key="IASTHost" value="URL to ASoC host, e.g. /https://cloud.appscan.com/IAST/" />
                                    <add key="IASTActive" value="true" />
                                  </appSettings>
    2. Pour .NET Core : assurez-vous qu'un fichier asoc-config.json a été ajouté au dossier racine de votre projet.

Résultats

L'agent IAST surveille les requêtes et signale les problèmes de sécurité lorsque vous utilisez ou testez votre application (exécution de tests fonctionnels, exécuter d'un examen dynamique ou exploration manuelle de l'application).