Configuration avancée
La vue Configuration avancée permet de modifier des paramètres avancés du registre et doit être utilisée uniquement par des utilisateurs expérimentés ou conformément aux instructions de l'équipe de support en vue de traiter un incident.
Nom |
Description |
Scénarios d'utilisation possibles |
---|---|---|
Communication : |
||
Valeur d'en-tête de requête langage Accept |
Chaîne envoyée pour l'en-tête du langage ACCEPT dans toutes les requêtes HTTP. Si la valeur n'est pas définie par l'utilisateur, AppScan® utilise la valeur envoyée par le navigateur lorsque l'utilisateur ouvre celui-ci pour la première fois au cours de l'examen, pour enregistrer la procédure de connexion ou une opération en plusieurs étapes, ou pour afficher une page. Implicite : fr-FR |
Lors de l'étape d'exploration, AppScan peut recevoir une réponse inattendue en raison de la valeur de l'en-tête Internet Explorer. Dans ce cas, vérifiez quelle valeur doit être utilisée dans l'en-tête de langage ACCEPT lors de l'interaction avec le site, et définissez-la dans ce paramètre (ou dans Internet Explorer). |
En-têtes personnalisés |
Permet de définir des en-têtes personnalisés à ajouter à toutes les requêtes envoyées par AppScan au site. Implicite : vide |
Si votre site attend un contenu d'en-tête spécifique (par exemple, si l'accès au site s'effectue via un plug-in client ou de navigateur spécifique), définissez le ou les en-têtes ici. Chaque en-tête doit être précédé par un délimiteur. L'en-tête et sa valeur doivent être séparés par un deux-points suivi d'un espace. Format : délimiteur|en-tête|deux-points et espace|valeur Exemple 1 : (Dans cet exemple, le délimiteur est ; )Exemple 2 : (Dans cet exemple, le délimiteur est , ) |
Forcer une demande HTTP sans paramètre dans chaque action de formulaire |
Dans certains cas, la logique côté serveur peut se comporter différemment lorsqu'une soumission de formulaire sans paramètre est reçue. Si l'option a pour valeur True, AppScan envoie une demande supplémentaire, sans paramètre, à chaque formulaire. En conséquence, des pages d'erreur personnalisées comportant des liens vers d'autres pages Web et d'autres fonctions peuvent être renvoyées. Implicite : Vrai |
Si vous remarquez, lorsque vous affichez le trafic au cours de l'examen, que des soumissions de formulaire sans paramètre entraînent des dépassements de délai d'attente ou des pannes de l'application, vous pouvez choisir d'associer cette option à la valeur False. |
Port SSL GSC |
Ce paramètre définit le numéro de port utilisé dans GSC pour la communication SSL. Implicite : 443 |
Si les liens sont fournis via une Exploration GSC, AppScan identifie HTTPS en fonction de ce numéro de port. Si votre application utilise un port différent pour la communication SSL, définissez-le ici. Si vous n'avez pas défini le port SSL correct, AppScan enverra tous les tests en HTTP. |
Inclure les en-têtes de débogage AppScan dans toutes les demandes |
Si cette option a pour valeur True, un en-tête HTTP est ajouté à toutes les demandes envoyées par AppScan au site. Le nom de l'en-tête est "X-AppScan-Debug" et sa valeur inclut des informations sur la raison pour laquelle AppScan envoie cette demande particulière (exploration, test, lecture de la connexion, recherche des serveurs arrêtés, etc.). Implicite : Faux |
La configuration de l'examen en vue de l'envoi d'en-têtes "X-AppScan-Debug" peut être utile pour le suivi du trafic AppScan dans des outils externes tels que des débogueurs Web, des proxys, des analyseurs et des renifleurs. Remarque : Il se peut que certains sites rejettent les demandes incluant ce type d'en-tête. |
Longueur de réponse maximale |
AppScan tronque les réponses longues pour éviter des problèmes de consommation de la mémoire. Ce paramètre définit la longueur de réponse maximale autorisée, en Mo. Les réponses plus longues sont traitées comme des erreurs. Implicite : 8 |
Si des liens semblent être absents dans AppScan, ou que la session est interrompue, et que l'application a l'habitude de renvoyer des réponses longues, l'augmentation de la longueur de réponse maximale peut être la solution à ce problème. |
Supprimer l'en-tête de codage ACCEPT |
AppScan supprime tous les codages qu'il ne prend pas en charge. Si ce paramètre est activé, AppScan supprimera l'intégralité de l'en-tête et non pas seulement les codages qu'il ne prend pas en charge. Implicite : Vrai |
Si le serveur rejette les demandes d'AppScan, renvoie des réponses inattendues ou si AppScan ne parvient pas à maintenir ouverte la session, consultez le journal du trafic et comparez les demandes envoyées par AppScan à celles de votre navigateur habituel. Si l'en-tête de codage ACCEPT est différent ou manquant dans votre navigateur, vous devez activer ce paramètre. |
Réutiliser les connexions serveur |
Par défaut, AppScan ferme les connexions TCP après leur utilisation, car les connexions ouvertes, ainsi que les données sauvegardées, peuvent avoir un impact sur les résultats de l'examen. Si cette option a pour valeur True, AppScan laisse les connexions ouvertes après leur utilisation et tente de les réutiliser dès que possible. Implicite : Faux |
Si des erreurs indiquant que les ressources du réseau sont épuisées surviennent sur le serveur Web, vous pouvez tenter de résoudre le problème en associant ce paramètre à la valeur True. |
Ordre des packages de sécurité |
AppScan prend en charge l'authentification Basic, Digest, NTLM, Negotiate, et Kerberos HTTP. Editez cette valeur pour forcer AppScan à utiliser ou non une méthode spécifique ou pour appliquer un ordre de préférence pour la sélection des méthodes lorsque le site ou le proxy en admet plusieurs. Par exemple, pour autoriser NTLM et Basic seulement et utiliser NTLM de préférence si disponible, remplacez la chaîne par : Implicite : Valeur par défaut : basic, digest, ntlm, negotiate, kerberos |
Si votre site utilise une méthode d'authentification spécifique et que l'accès est refusé à AppScan, vous pouvez définir la méthode requise comme méthode unique pour tenter de résoudre le problème. Pour tester votre site avec des méthodes spécifiques, par exemple Basic et NTLM, vous pouvez configurer un examen avec la méthode Basic seulement et un deuxième examen avec la méthode NTLM seulement. |
Norm. des barres obliques |
Normalisez les URL en remplaçant deux barres obliques consécutives (ou plus) par une seule. Implicite : Vrai |
Si les URL de votre site utilisent des barres obliques consécutives, désactivez ce paramètre. |
Traiter la réponse en cas d'erreur comme valide |
AppScan traite les pages d'erreur différemment des pages ordinaires (par exemple, leurs liens ne sont pas analysés). Ce paramètre vous permet d'indiquer à AppScan de traiter les pages d'erreur comme s'il s'agissait de pages ordinaires pour l'URL de départ uniquement ou dans tous les cas. Lorsque la valeur définie est 0, AppScan traite toutes les réponses en cas d'erreur comme non valides. Lorsque la valeur définie est 1, AppScan traite toutes les réponses en cas d'erreur pour l'adresse URL de départ (4xx et 5xx) comme étant valides. Lorsque la valeur définie est 2, AppScan considère que toutes les réponses en cas d'erreur sont valides pour les pages standard et l'adresse URL de départ. Implicite : 0 |
Si la réponse à votre adresse URL de départ est une page d'erreur, associez la valeur 1 au paramètre. Pour que l'examen procède à l'extraction de données à partir de pages d'erreur et les teste, associez la valeur 2 au paramètre. La modification du paramètre par défaut peut avoir un impact sur les performances. |
Flash : |
||
Couverture |
Définit le "niveau de couverture" de l'examen. 1 = examen plus rapide ; 2 = couverture plus complète Implicite : 1 |
Pour une couverture plus complète (mais plus lente) du contenu Flash, attribuez la valeur 2 à ce paramètre. |
Exclure des instances |
Indiquez les instances d'interface graphique problématiques à exclure de l'examen Flash. N'utilisez cette option que si le service de support vous le demande. |
Si l'examen échoue ou ne se termine jamais en raison de la répétition d'opérations. Séparez les instances par une virgule. |
Chaîne de téléchargement vers l'aval de fichier |
Pour pouvoir examiner les films Flash de façon efficace, il est important qu'AppScan puisse identifier les commandes ayant pour résultat la réception d'un fichier par téléchargement. Utilisez cette zone pour les définir. Si vous cliquez sur une commande contenant les chaînes définies, AppScan s'interrompt pendant la durée du "Délai d'attente entre les opérations longues", même si les chaînes ne sont pas incluses dans le paramètre "Chaîne d'opération longue". Implicite : Télécharger |
Si le film implique des téléchargements de fichiers vers l’aval, ils doivent être définis ici. S'il en existe plusieurs, séparez-les par un point-virgule. Exemple : Download;Save;CopyDownload;Save;Copy |
Chemin de téléchargement vers l'amont de fichier |
Chemin d'un fichier qu'AppScan peut télécharger vers l'application à la demande du film. Implicite : vide |
Si le film Flash réclame le téléchargement amont d'un fichier, définissez son chemin, sans oublier son nom, et vérifiez son existence. Vous devez également définir la "Chaîne de téléchargement vers l'amont de fichier". |
Chaîne de télécharg. vers l'amont de fichier |
Pour pouvoir examiner les films Flash de façon efficace, il est important qu'AppScan puisse identifier les commandes permettant à l'utilisateur d'envoyer un fichier par téléchargement. Utilisez cette zone pour les définir. Si vous cliquez sur une commande contenant les chaînes définies, AppScan s'interrompt pendant la durée du "Délai d'attente entre les opérations longues", même si les chaînes ne sont pas incluses dans le paramètre "Chaîne d'opération longue". Implicite : Upload;Browse |
Si le film permet à l'utilisateur de télécharger des fichiers vers l'amont, le texte des liens ou des commandes autorisant ces opérations doit être défini dans cette zone. S'il en existe plusieurs, séparez-les par un point-virgule. Exemple : Upload;Browse;Add Le "Chemin de téléchargement vers l'amont de fichier" doit aussi être défini. |
Une dépendances de films Flash existe |
Indique que le site comporte un film Flash contenant un autre film Flash dont dépend le premier film. Implicite : Faux |
Si le site contient un film Flash qui charge un autre film Flash et que le premier film dépend du deuxième film, définissez la valeur sur True. |
Facteur de fréquence des images |
Lors des lectures Flash, la fréquence des images est augmentée en fonction de ce facteur (1,2,3,4). Implicite : 4 |
Par défaut, AppScan accélère la fréquence des images d'après un facteur de 4 lors de la lecture de films au cours d'un examen. Si ceci est trop rapide pour imiter une utilisation réelle, vous pouvez sélectionner un facteur plus faible. |
Délai d'attente de chargement du film |
Durée (en millisecondes) pendant laquelle AppScan attend qu'un film soit chargé avant de commencer à l'explorer. Implicite : 1600 |
Si AppScan commence à explorer un fichier avant la fin de son chargement, les résultats seront inexacts. Dans le cas où le chargement du film est plus long que la valeur par défaut, vous devez augmenter celle-ci. |
Chaîne d'opération longue |
Après la plupart des opérations, le navigateur Flash attend pendant la durée déterminée dans "Durée d'attente standard" avant de continuer, pour permettre au film d'atteindre son nouvel état. Lorsque la durée de certaines opérations risque d'être plus longue, et que l'examen pourrait donc se poursuivre avant que le film n'ait changé d'état, vous devez définir des "Opérations longues" (téléchargement de fichiers ou connexion, par exemple) pour lesquelles le navigateur s'interrompt plus longtemps. Implicite : vide |
Les liens "Upload" ou "Login" correspondent à des opérations susceptibles d'être définies comme "longues". Dans le cas de l'envoi d'un fichier par téléchargement, le lien à définir est celui qui déclenche réellement le téléchargement du fichier, et non celui qui permet à l'utilisateur de sélectionner un fichier à télécharger. Si vous entrez plusieurs chaînes, séparez-les par un espace. |
Délai d'attente entre les opérations longues |
Durée (en millisecondes) pendant laquelle le navigateur Flash attend la fin et le changement d'état des opérations définies au paramètre "Chaîne d'opération longue". Implicite : 5000 |
Si une "opération longue" a été définie, son "délai d'attente" doit l'être aussi, dans cette zone. |
Intervalle entre deux échantillons |
Intervalle minimal (ms) entre des "opérations utilisateur" (telles que des clics de souris), pour permettre au film d'atteindre son nouvel état. Implicite : 160 |
Si le film comporte un grand nombre d'animations, l'attente requise pour un clic de l'utilisateur ou le renseignement d'un formulaire peut être plus longue que la valeur par défaut. Vous pouvez augmenter ce délai ici. |
Général : |
||
Fusionner les tests redondants |
Lorsqu'il est défini sur True, AppScan envoie un seul ensemble de tests sur deux demandes (ou plus) qui sont identiques, à l'exception des cookies supplémentaires. S'il est défini sur False, toutes ces demandes seront testées séparément. Implicite : Vrai |
La définition de ce paramètre sur False peut affecter les performances. Ne faites cette modification que si le Support vous le conseille. |
Filtre d'extensions de fichier proxy |
Expression régulière définissant les extensions de fichier qui seront supprimées de la liste des URL sauvegardées lorsque vous enregistrez une connexion, une exploration manuelle ou une opération en plusieurs étapes. Si vous supprimez une extension de l'expression régulière, les adresses URL se terminant par cette extension ne sont pas filtrées dans les enregistrements. Implicite : "\.(zip|Z|tar|t?gz|sit|cab|pdf| ps|doc|ppt|xls|rtf|dot|mp(p|t|d|e|a|3| 4|ga)|m4p|mdb|csv|pp(s|a)|xl(w|a)| dbf|slk|prn|dif|avi|mpe?g|mov(ie)?| qt|moov|rmi?|as(f|x)|m1v|wm(v|f| a)|wav|ra|au|aiff|midi?|m3u|gif| jpe?g|bmp|png|tif?f|ico|pcx|css| xml)$" |
Parfois, lorsqu'un type de fichier particulier est nécessaire, par exemple un fichier image CAPTCHA inclus dans votre enregistrement de connexion pour référence, vous pouvez supprimer son extension de fichier (en l'occurrence |
Nettoyer les journaux |
Supprime les informations sensibles des journaux. Implicite : Faux |
Si vous devez supprimer des informations sensibles des journaux, activez cette option et définissez le schéma à supprimer dans l'option "Schéma d'information sensible". Notez que la modification de ce paramètre est sans effet sur les journaux déjà générés. |
Nettoyer les rapports |
Supprime les informations sensibles des rapports. Implicite : Faux |
Si vous devez supprimer des informations sensibles des rapports, activez cette option et définissez le schéma à supprimer dans l'option "Schéma d'information sensible". Notez que la modification de ce paramètre est sans effet sur les rapports déjà générés. |
Envoyer tous les tests via GSC |
AppScan peut utiliser GSC pour envoyer des tests sur l'ensemble ou une partie des liens trouvés par GSC. 0 = Envoi des messages SOAP uniquement à l'aide de GSC 1 = Utilisation de GSC pour l'envoi de tous les tests sur les liens trouvés par GSC 2 = Pas d'envoi de tests à l'aide de GSC Implicite : 0 |
Si vous n'avez pas défini de paramètres de sécurité spéciaux lors de l'exploration de votre site dans GSC, le fait de laisser AppScan (et non GSC) envoyer des tests pendant l'étape Test réduit la durée de l'examen de manière significative. Toutefois, si plusieurs tests n'ont pas reçu de réponse ou ont reçu des réponses d'erreur inattendues, alors le problème est certainement dû à la différence entre la manière dont GSC et AppScan envoient des demandes. L'envoi de ces tests à l'aide de GSC peut permettre de résoudre le problème. |
Schéma d'information sensible |
Expression régulière qui définit un ou plusieurs groupes à exclure des journaux et des rapports si l'option Nettoyer les journaux ou Nettoyer les rapports est activée. Implicite : vide |
Si vous devez supprimer des informations sensibles des rapports ou des journaux, activez l'option appropriée ("Nettoyer les journaux " ou "Nettoyer les rapports") et définissez ici un ou plusieurs groupes dans une expression régulière. Le texte sensible est remplacé par : **CONFIDENTIAL 1**, **CONFIDENTIAL 2**, etc. |
JavaScript™ : |
||
Exécution JavaScript automatique dans une exploration manuelle |
Vous pouvez configurer AppScan afin d'extraire tous les liens générés par JavaScript sur des pages explorées manuellement, même ceux non déclenchés lors de l'exploration manuelle. Implicite : Faux |
Ceci peut permettre d'augmenter la portée de l'exploration manuelle. |
Vider le cache |
Si la valeur de ce paramètre est True, l'exécution de JavaScript (si elle est activée) ne met pas en cache les demandes envoyées au cours de la connexion. Cela peut augmenter la durée de l'examen et la taille de fichier. Implicite : Faux |
|
Extraire les liens externes |
Lorsque l'exécution de JavaScript est activée, cela permet à AppScan d'extraire les liens externes même si leur serveur n'est pas configuré dans AppScan en tant que serveur supplémentaire. Implicite : Faux |
Les pages HTML comportent fréquemment des liens vers des fichiers source JavaScript externes, tels que des fichiers source Dojo et jQuery. Si vous désirez que l'exécution de JavaScript puisse accéder à tous les liens pertinents identifiés lors de la phase d'exploration, sans avoir à ajouter les serveurs à la liste Serveurs et domaines supplémentaires testés par AppScan, activez ce paramètre. Notez qu'AppScan extraira le lien, mais sans le tester, ni l'analyser pour de nouveaux liens. |
Filtre JavaScript et Flash |
Cette expression régulière définit les pages sur lesquelles JavaScript ne sera pas exécuté et sur lesquelles Flash ne sera pas analysé lors de la phase d'exploration de l'examen. (Elle ne limite pas l’JavaScript analyse.) Implicite : vide |
Si AppScan s'arrête ou se fige régulièrement sur une page spécifique avec un contenu JavaScript ou Flash (ceci peut être confirmé en consultant le journal du trafic), la définition de cette page ici résoudra le problème. |
Schéma de lien JavaScript |
AppScan utilise divers schémas pour identifier les liens dans le code JavaScript. Si votre site utilise des schémas inhabituels, vous devez les définir dans cette expression régulière. Implicite : vide |
Si AppScan semble ignorer des liens de votre code JavaScript et que votre site utilise des schémas de lien JavaScript inhabituels, définissez ici un ou plusieurs schémas pour indiquer à AppScan ce qu'il doit rechercher. |
Localisation : |
||
Codage HTML |
Remplace le codage défini dans les réponses HTML de votre site. Implicite : vide |
Si le contenu des réponses dans les résultats d'examen présente une déformation, cela peut être dû au fait que : 1) La méthode de codage n'a pas été correctement identifiée par AppScan, ou 2) La méthode de codage n'est pas correctement définie dans le code HTML de votre site. Pour résoudre le problème 1 : sélectionnez la méthode correcte dans la liste déroulante Options d'exploration. Pour résoudre le problème 2 : entrez la méthode de codage correcte ici. |
Paramètres et cookies : |
||
Exclure des tests les paramètres JSON redondants |
Le corps de type de contenu JSON peut contenir plusieurs valeurs d'un paramètre unique qui doivent être testées individuellement. Si vous définissez cette option à la valeur True, AppScan tente d'identifier les valeurs redondantes et de limiter les tests à un sous-ensemble de paramètres, ce qui réduit la durée de l'examen. Implicite : Vrai |
Si vous constatez qu'un paramètre important n'a pas été testé, définissez cette option à la valeur False. |
Exclure des tests les paramètres XML redondants |
Le corps de type de contenu XML peut contenir plusieurs valeurs d'un paramètre unique qui doivent être testées individuellement. Si vous définissez cette option à la valeur True, AppScan tente d'identifier les valeurs redondantes et de limiter les tests à un sous-ensemble de paramètres, ce qui réduit la durée de l'examen. Implicite : Vrai |
Si vous constatez qu'un paramètre important n'a pas été testé, définissez cette option à la valeur False. |
Suivre les paramètres personnalisés dans les en-têtes |
Ce paramètre s'applique uniquement aux examens sauvegardés à l'aide d'ADAC version 8.7.0.1 ou antérieure. Dans les versions ultérieures, le comportement par défaut est devenu True et il est possible de contrôler les valeurs de chaque paramètre et cookie dans : Configuration > Paramètres et cookies > Définition de paramètre > Options de suivi > Correspondance : En-tête et corps (par défaut) ou Corps uniquement (voir Définition de paramètre). Par défaut, AppScan (versions 8.7.0.1 et antérieures) recherche des paramètres personnalisés uniquement dans le corps des réponses, et non dans leurs en-têtes. Si vous attribuez la valeur True à ce paramètre, AppScan effectue alors également une recherche dans les en-têtes. Implicite : Faux Remarque : |
Si AppScan ferme la session suite à des modifications d'un paramètre dans un en-tête de réponse, la modification de ce paramètre peut résoudre le problème. Ceci peut augmenter la durée de l'examen. |
Suivre les paramètres dynamiques à l'étape de test uniquement s'il existe du contenu en ligne |
Le suivi des paramètres dynamiques au cours de l'étape de test peut entraîner des problèmes de performance. Par conséquent, par défaut, le suivi des paramètres dynamiques n'est effectué au cours de l'étape de test que dans les réponses comportant du contenu en ligne. Implicite : Vrai |
N'associez la valeur False à ce paramètre que si ce type de suivi est essentiel. |
Détection de serveur arrêté : |
||
Rechercher "serveur arrêté" dans Exploration |
Permet d'envoyer des demandes de signal de présence pour vérifier la condition "Serveur arrêté" pendant l'étape d'exploration. Implicite : Vrai |
Si AppScan reçoit des erreurs de type serveur arrêté pendant l'étape d'exploration bien que le serveur soit en opération, ceci peut être dû au fait que le serveur bloque les demandes de signal de présence fréquentes. Si AppScan connaît des arrêts de session fréquents pendant l'examen, ceci peut être dû au fait que l'adresse URL de départ est envoyée au serveur comme signal de présence, sans cookies. La désactivation de ce paramètre peut résoudre le problème mais AppScan ne sera alors pas en mesure de vérifier l'état du serveur. |
Rechercher "serveur arrêté" dans Test |
Permet d'envoyer des demandes de signal de présence pour vérifier la condition "Serveur arrêté" pendant l'étape de test. Implicite : Vrai |
Si AppScan reçoit des erreurs de type serveur arrêté pendant l'étape de test bien que le serveur soit en opération, ceci peut être dû au fait que le serveur bloque les demandes de signal de présence fréquentes. Si AppScan connaît des arrêts de session fréquents pendant l'examen, ceci peut être dû au fait que l'adresse URL de départ est envoyée au serveur comme signal de présence, sans cookies. La désactivation de ce paramètre peut résoudre le problème mais AppScan ne sera alors pas en mesure de vérifier l'état du serveur. |
Etape d'exploration - tentatives de reconnexion |
Lorsqu'AppScan est sur le point de terminer l'étape d'exploration mais que plusieurs tests ont échoué pour cause de "serveur arrêté", et que le serveur est toujours arrêté, AppScan effectuera plusieurs tentatives de connexion au serveur. Implicite : 5 |
Si vous savez que votre serveur est sensible ou constatez que l'examen s'est arrêté en raison d'une erreur de communication et qu'une série de tests a échoué pour les mêmes raisons, vous devez augmenter cette valeur. |
Intervalle entre deux tentatives de demande |
Intervalle en secondes avant un nouvel envoi des demandes ayant échoué (y compris des demandes de signal de présence). Implicite : 1 |
Si vous êtes conscient que votre connexion est médiocre ou votre serveur instable (ce qui peut conduire à des résultats "faux négatifs" ou réduire la couverture de l'application), vous pouvez augmenter cet intervalle pour réduire l'impact. |
Nombre limite de tentatives de demande |
Nombre de nouvelles tentatives de relance des demandes ayant échoué. Implicite : 2 |
L'augmentation de la valeur de ce paramètre peut augmenter l'efficacité de l'examen si votre serveur est instable ou que la communication est médiocre. |
Délai d'attente d'arrêt du serveur |
Lorsqu'AppScan ne parvient pas à se connecter au serveur ou que la session se ferme, ce paramètre définit la durée (en secondes) pendant laquelle AppScan tentera de se reconnecter ou de rouvrir la session avant d'arrêter l'examen. Implicite : 185 |
Si votre connexion est lente, ou si votre serveur met du temps à se recharger après un arrêt, vous pouvez choisir d'augmenter ce paramètre. |
intervalle des pulsations serveur arrêté |
Intervalle en secondes entre signaux de présence de "serveur arrêté". Implicite : 3 s Max : 60 s |
Si AppScan reçoit des erreurs de type serveur arrêté pendant l'examen, ceci peut être dû à une connexion médiocre ou à un serveur instable. L'augmentation de cet intervalle peut permettre de résoudre le problème. |
Etape de test - tentatives de reconnexion |
Lorsqu'AppScan est sur le point de terminer l'étape de test mais que plusieurs tests ont échoué pour cause de "serveur arrêté", et que le serveur est toujours arrêté, AppScan effectuera plusieurs tentatives de connexion au serveur. Implicite : 5 |
Si vous savez que votre serveur est sensible ou constatez que l'examen s'est arrêté en raison d'une erreur de communication et qu'une série de tests a échoué pour les mêmes raisons, vous devez augmenter cette valeur. |
Gestion des sessions : |
||
Domaines des publicités |
Expression régulière décrivant les domaines courants des publicités sur le Web. Les demandes envoyées à ces domaines lors de l'enregistrement de la séquence de connexion seront ignorées. Implicite : Valeur par défaut : ad\d.googlesyndication| doubleclick\.net|coremetrics\.|webtrends\ .|112\.2o7\.net|view.atdmt.com| ad.yieldmanager.com|ads.adbrite.com| oasn04.247realmedia.com| segment-pixel.invitemedia.com" |
La séquence de connexion étant réexécutée continuellement au cours de l'examen, vous pouvez améliorer l'efficacité de l'examen en éliminant par filtrage les demandes non nécessaires. Si vous supprimez toute l'expression régulière, aucun domaine ne sera éliminé. |
Effacer les cookies avant de lire la connexion |
Détermine si les cookies sont supprimés avant la relecture de la séquence de connexion. Implicite : Vrai |
|
Valeurs de paramètre statique commun |
Valeurs de paramètres statiques courantes. Utilisées pour la détection de valeurs de paramètres non aléatoires qui ne doivent pas faire l'objet d'un suivi lors de la connexion. Implicite : |true|false|\bon\b|\boff\b|\bout\b|checked|enabled|log\s?in|log\ s?out|exit|submit|sign|ever|disabled|agree |
|
Désactiver la mise en mémoire tampon en session pendant l'étape d'exploration |
Pendant l'étape d'exploration : Si la réponse à une demande indique que l'utilisateur était hors session lors de son envoi, AppScan met en file d'attente la demande afin de la renvoyer. Cela garantit l'examen d'une partie aussi grande que possible du site. Implicite : Faux |
Si votre site met souvent l'utilisateur hors session, la mise en mémoire tampon en session risque de provoquer une exécution indéfinie de l'étape d'exploration. Si vous affectez la valeur True à cette option, l'étape d'exploration est plus rapide, mais la couverture d'examen du site risque d'être réduite. |
En session avant opérations en plusieurs étapes |
Par défaut, AppScan vérifie le statut en session avant de réexécuter les opérations en plusieurs étapes. Implicite : Vrai |
Si vous voulez tester des opérations en plusieurs étapes avec un utilisateur non authentifié, ou si vos séquences en plusieurs étapes incluent des étapes de connexion, affectez à ce paramètre la valeur False. Important : Si l'option Configuration > Gestion de connexion > Détails > Activer la détection en session est désélectionnée et que ce paramètre avancé a la valeur True (par défaut), toute la séquence de connexion sera réexécutée avant chaque opération en plusieurs étapes. |
Intervalle des pulsations En session |
Intervalle en secondes entre les signaux de présence En session. Implicite : 5 |
Si une fin de session intervient sur AppScan durant l'examen, ceci peut être dû à une connexion médiocre ou à un serveur instable. L'augmentation de cet intervalle peut permettre de résoudre le problème. |
Filtre du type de contenu de connexion |
Expression régulière qui définit des types de contenu qui doivent être exclus des séquences de connexion et d'opération en plusieurs étapes. Lorsqu'une séquence de connexion ou d'opération en plusieurs étapes est enregistrée, les demandes dont les réponses comprennent des en-têtes avec ces types de contenu seront supprimées de la séquence. Ainsi, lorsqu'AppScan réexécute la séquence pendant l'examen, les demandes dont les réponses comprennent des en-têtes avec ces types de contenu ne seront pas envoyées dans la séquence. Implicite : Par défaut : text/javascript|application/javascript| application/x-javascript|image|text/css |
Si la procédure de connexion de votre site, ou l'une des opérations en plusieurs étapes que vous avez enregistrées, nécessite de cliquer sur un lien contenant un en-tête dont le contenu figure dans cette liste, vous devez le supprimer de l'expression régulière. |
Intervalle entre les nouvelles tentatives de connexion |
Intervalle en secondes avant un nouvel envoi des demandes de connexion ayant échoué. Implicite : 3 |
Si une fin de session intervient dans AppScan et que les tentatives de relance de la connexion échouent, ceci peut être dû au fait que le serveur est sensible aux tentatives de connexion répétées. L'augmentation de cet intervalle peut permettre de résoudre le problème. |
Filtre de type de contenu à plusieurs parties |
Pour réduire la consommation de mémoire superflue, certains types de contenu sont automatiquement exclus par filtrage des demandes à plusieurs parties (demandes contenant plusieurs types de contenu). Seuls les types de contenu définis dans cette expression régulière sont inclus dans les demandes à plusieurs parties. Les autres types de contenu sont filtrés et exclus. Le contenu qui ne possède pas d'en-tête de type de contenu est inclus par défaut et défini par la valeur suivante :
Implicite : text/|text/plain|application/javascript| application/json|application/rtf|application/xml| text/xml|content_without_content_type_header |
Si un type de contenu important est exclu des demandes, ajoutez-le à cette expression régulière. Il est également possible de réduire la consommation de mémoire en supprimant les types de contenu inutiles afin qu'ils ne soient pas envoyés. |
Hôtes de paramètres de navigation |
Expression régulière décrivant les hôtes. Utilisée pour la détection des paramètres de navigation (par valeur) ne devant pas faire l'objet d'un suivi pendant la séquence de connexion. Implicite : https?:// |
Si votre site utilise des hôtes inhabituels dans les paramètres de navigation, qui ne sont pas exclus par l'expression régulière par défaut, ajoutez-les pour améliorer l'efficacité de l'examen. Si vous supprimez cet élément, les paramètres de navigation peuvent ne pas être identifiés correctement. |
Scripts de paramètres de navigation |
Expression régulière décrivant des scripts côté serveur utilisés lors de la détection des paramètres de navigation (par valeur de paramètre) qui ne doivent pas faire l'objet d'un suivi pendant la séquence de connexion. Implicite : /[^/\.]+\.(htm|jsp|jsf|ws|dll|asp|php|do) |
Si votre site utilise des scripts côté serveur inhabituels dans les paramètres de navigation, qui ne sont pas exclus par l'expression régulière par défaut, ajoutez-les pour améliorer l'efficacité de l'examen. Si vous supprimez cet élément, les paramètres de navigation peuvent ne pas être identifiés correctement. |
Paramètres de navigation |
Expression régulière décrivant des paramètres de navigation qui ne doivent pas faire l'objet d'un suivi lors de la séquence de connexion. Implicite : \bnav|url|page|step|redirect|request| location|target|argument|item|article| goto|node|action|ctrl|control|source| menu|frame|command |
Si votre site utilise des paramètres de navigation inhabituels qui ne sont pas exclus par l'expression régulière par défaut, ajoutez-les pour améliorer l'efficacité de l'examen. La modification de l'expression régulière peut générer une couverture insuffisante de l'examen ou un suivi de session inadéquat. |
Analyser la page En session |
S'il est défini sur False, AppScan n'analysera pas la page en session et ne mettra pas à jour les paramètres ou les cookies suivis dont les valeurs ont été modifiées dans la page en session. Implicite : Vrai |
Si votre page En session ne contient pas de cookies ou de paramètres suivis, vous pouvez améliorer les performances en modifiant la valeur de ce paramètre sur False. S'il est défini sur False, AppScan ne mettra pas à jour les valeurs des paramètres ou des cookies suivis sur la page en session, ce qui peut entraîner un passage hors session. |
Nom de paramètre des mots de passe |
Utilisé par Recorded Login Analysis pour identifier le paramètre des mots de passe. Le nom complet est requis. Implicite : |
Parfois, lorsque vous importez une connexion (plutôt que de l'enregistrer à l'aide de la connexion basée sur les actions), AppScan peut ne pas parvenir à identifier le nom de paramètre des mots de passe. Si cela se produit, le champ Mot de passe dans Configuration des examens > Remplissage automatique de formulaires sera vide. Si cela se produit, ajoutez le nom de paramètre des mots de passe complet. |
Demandes entre pulsations |
A la suite d'une demande de détection de session, AppScan enverra au moins le nombre de demandes définies ici avant d'envoyer une autre demande de détection de session. Implicite : 1 |
Si en raison de la lenteur de la réponse du serveur l'examen est constitué principalement de demandes de détection en session (voir le journal du trafic), l'augmentation de cette valeur peut réduire la durée de l'examen. |
Schémas spéciaux : |
||
Exclure du remplissage automatique de formulaires |
Les noms de paramètres répertoriés ici sont exclus du remplissage automatique de formulaires. Implicite : ^CFID __EVENTVALIDATION __VIEWSTATE ^CFTOKEN __EVENTARGUMENT __EVENTTARGET ^BV_ |
Les paramètres dont la valeur est très longue peuvent ralentir l'examen et accroître la taille des fichiers. Si votre application utilise des paramètres dont les valeurs sont longues et qui ne sont pas requis pour remplir les formulaires, ajoutez-les à cette liste. |
Tests : |
||
CSRF : Schéma de demande significative |
Par défaut, AppScan teste les requêtes POST et celles avec réponse "Transaction Successful" pour identifier des attaques CSRF (Cross-Site Request Forgery). Ce paramètre vous permet de définir des demandes supplémentaires comme étant "significatives" d'une vulnérabilité à une attaque CSRF, outre les requêtes POST. Cette définition est utilisée en conjonction avec "CSRF : Schéma de réponse significative. Implicite : ^POST |
Si vous désirez tester également la vulnérabilité à des attaques CSRF de requêtes GET, modifiez cette expression régulière. |
CSRF : Schéma de réponse significative |
Par défaut, AppScan teste les requêtes POST et celles avec réponse "Transaction Successful" pour identifier des attaques CSRF (Cross-Site Request Forgery). Ce paramètre vous permet de définir des réponses supplémentaires comme étant "significatives" d'une vulnérabilité à une attaque CSRF, outre les réponses "Transaction Successful". Cette définition est utilisée en conjonction avec "CSRF : Schéma de demande significative. Implicite : Transaction Successful |
Si vous désirez tester la vulnérabilité à des attaques CSRF de demandes recevant d'autres types de réponse, définissez-les dans cette expression régulière. |
Désactiver le test des cookies |
Ce paramètre permet de désactiver le test des cookies. Implicite : Faux |
Si le test des cookies pour votre application allonge considérablement la durée de l'examen, vous pouvez le désactiver. Cependant, ceci peut entraîner l'omission de problèmes de sécurité ("faux négatifs"). |
Désactiver le test des cookies pour le contenu statique |
Désactive le test des cookies dans les demandes pour des pages portant cette extension. Implicite : ;htm;html;ahtm;ahtml; chtm;chtml;fhtm;fhtml;mht; mhtm;mhtml;css;css1;js; |
Afin de réduire la durée de l'examen et la consommation de la mémoire, vous pouvez envisager d'exclure des types supplémentaires d'extensions de page. Dans ce cas, ajoutez-les à la liste des extensions à exclure, en les séparant par un point-virgule. |
Ne pas tester le répertoire ou la page |
Cette option permet de définir une expression régulière afin de protéger des répertoires ou des pages spécifiques des attaques pendant l'étape de test. Seuls seront exclus les répertoires ou pages définis et non les sous-répertoires ou fichiers. Implicite : /wps/[^/]*/!ut/ |
Si vous savez que certains répertoires ou pages ne sont pas vulnérables ou craignez que leur test ne nuise à la stabilité du site, vous pouvez les exclure de l'examen en les définissant dans cette expression régulière. Pour exclure un dossier et tous ses sous-dossiers, reportez-vous à la rubrique Exclusion de chemins et de fichiers |
Extraire les liens de toutes les réponses |
Par défaut, lors de la phase de test, AppScan ne recherche de nouveaux liens que dans les réponses vulnérables. Implicite : Faux |
Si vous pensez qu'AppScan risque d'ignorer des liens ou que sa couverture est insuffisante, vous pouvez activer ce paramètre, bien que ceci augmente la durée de l'examen et la taille de fichier. |
Suivre tous les liens automatiques |
Par défaut, AppScan ne suit que des liens* automatiques susceptibles de comporter des vulnérabilités. Ces éléments sont : iFrame, Frame et Redirect. Vous pouvez le configurer afin de suivre tous les types de lien automatique. Notez que les requêtes correspondant à l'expression régulière définies dans "Liens automatiques à ignorer" ne seront jamais envoyées, quelle que soit la valeur de ce paramètre. Implicite : Faux |
Si vous pensez que votre site peut comporter une vulnérabilité dans d'autres types de liens automatiques, comme des scripts, activez ce paramètre. Ceci augmentera la durée d'examen et la taille de fichier. |
Connexion après test |
Envoyer les tests dans une même unité d'exécution et vérifier en session, ou envoyer la séquence de connexion après chaque test. 0 = False 1 = Envoyer les tests dans une même unité d'exécution et vérifier en session après chaque test. Si une fin de session est détectée, envoie la séquence de connexion. 2 = Envoyer les tests dans une même unité d'exécution et envoyer la séquence de connexion après chaque test. Implicite : 0 |
Les paramètres 1 et 2 peuvent s'avérer nécessaires pour les applications comportant une session sensible ou nécessitant des déconnexions fréquentes pour éviter les problèmes de session ou de mémoire. La sélection de ces paramètres peut augmenter la durée d'examen de façon significative. |
Opération en plusieurs étapes : limite de validation |
Nombre maximal de demandes consécutives provenant d'une opération en plusieurs étapes qui seront validées via des tests de script intersite. Implicite : 0 |
|
Schéma à ignorer dans la réponse |
Cette expression régulière définit les sections de la réponse à ignorer par AppScan lors de l'analyse des réponses du test. Lors de la comparaison des réponses en vue de décider si un test a réussi, AppScan calcule le pourcentage de modification dans la réponse complète. Si la réponse est très longue et la modification minime, AppScan peut ignorer cette différence et ne pas identifier la vulnérabilité. Implicite : <input[^>]+(__VIEWSTATE|__ EVENTTARGET| __EVENTARGUMENT| __EVENTVALIDATION) [^>]+> |
Si votre site envoie des réponses incluant des sections longues qui ne sont pas importantes, la définition des sections ici peut améliorer la précision et les performances de l'examen. |
Régénérer l'intervalle de réponse d'origine |
Intervalle, en secondes, de régénération de la réponse d'origine (en renvoyant la demande) au cours de la phase de test. L'une des méthodes utilisées par AppScan pour décider si une réponse de test révèle une vulnérabilité consiste à la comparer avec la réponse d'exploration. Lorsqu'une réponse d'exploration est antérieure à la valeur définie ici, la demande d'exploration est envoyée de nouveau, avant d'envoyer les tests, de sorte qu'une réponse d'exploration mise à jour puisse être utilisée pour la comparaison. Cette règle est essentielle lorsque la réponse d'exploration est susceptible de varier dans le temps et que la comparaison de la réponse de test avec la réponse d'exploration obsolète risque de produire un résultat faussement positif. Implicite : 30 (secondes) |
Si vous êtes certain que les réponses de l'application ne deviendront jamais obsolètes, vous pouvez remplacer la valeur de ce paramètre par zéro afin de réduire la durée d'examen. Les demandes de l'étape d'exploration ne seront jamais envoyées une nouvelle fois. |
Envoyer des tests de programme d'écoute des ports |
Par défaut, AppScan n'envoie pas de tests d'écoute des ports en raison des risques d'échec et du temps de validation. Implicite : Faux |
Si le site externe fait partie de votre réseau et connaît par conséquent les adresses IP locales, vous pouvez souhaiter activer ce type de test d'injection SQL en aveugle. |
Seuil de similarité |
Certains tests comparent la réponse qu'ils reçoivent avec la réponse d'origine et se basent sur la similarité de la réponse pour déterminer s'ils ont abouti. Pour la plupart des tests, le seuil de similarité est de 95 %. Dans certaines stratégies de test, il est supérieur. Toute valeur saisie située entre 1 et 100 (pour cent) se substitue aux seuils des tests individuels. Implicite : 0 (Utiliser les seuils AppScan) |
Si votre site ne contient pas de texte "dynamique" pouvant générer de petites différences dans des réponses similaires, vous pouvez augmenter ce pourcentage pour réduire le nombre de messages faussement positifs. |
XSS : Tester toutes les sondes reflétées |
Généralement, plusieurs occurrences du texte de charge trouvées dans une réponse du site ont le même niveau de vulnérabilité. Par conséquent, AppScan n'en teste qu'une seule. Implicite : Faux |
Paramétrez cette valeur sur True si vous voulez tester toutes les occurrences du texte de charge dans une même réponse. |
* Connexion automatique : lien sur la page Web que le navigateur envoie automatiquement, sans aucune interaction de l'utilisateur.