Mot de passe à usage unique (OTP)

Si votre application le demande, configurez AppScan® pour qu'il utilise un mot de passe à usage unique lors de la connexion.

Si votre application utilise un mot de passe à usage unique, sélectionnez l'une des deux options. Sinon, laissez le paramètre par défaut : Pas de notification

Lorsque vous enregistrez la procédure de connexion, AppScan extrait les paramètres appropriés du trafic et les ajoute à la liste Remplissage automatique de formulaires. Ils s'afficheront également dans la partie inférieure de la vue du mot de passe à usage unique. Si AppScan ne parvient pas à identifier les paramètres, vous devez les ajouter vous-même, dans cette vue ou dans la vue Remplissage automatique de formulaires.
Limitations :
  • Un seul type de mot de passe à usage unique (mot de passe à usage unique et à durée limitée ou mot de passe à usage unique généré par URL) est pris en charge par examen.
  • Pour les mots de passe à usage unique et à durée limitée, seules les valeurs numériques sont prises en charge.
Option Description

TOTP

Pour les mots de passe à usage unique et à durée limitée, vous devez fournir à AppScan les informations suivantes :
  • Clé secrète
  • Longueur du mot de passe (nombre de caractères)
  • Algorithme de hachage utilisé (sélectionner dans la liste déroulante)
  • Etape de temps (en secondes)
Conseil : L'heure sur la machine AppScan et sur le serveur testé doit être la bonne.

OTP généré par URL

Si le mot de passe à usage unique est accessible à partir d'une URL désignée, vous pouvez configurer AppScan pour qu'il l'extraie à partir de la réponse de l'URL. Vous devez fournir à AppScan les informations suivantes :
  • URL
  • Expression régulière qui identifie le mot de passe à usage unique dans la réponse d'URL.

Aucun(e)

Le mot de passe à usage unique n'est pas utilisé par le site, ou l'examen des pages qui utilisent le mot de passe à usage unique n'est pas requis.

Détails

Paramètres HTTP du mot de passe à usage unique

Si vous avez sélectionné l'un des types de mot de passe à usage unique, lorsque vous validez la procédure de connexion enregistrée, AppScan identifie les paramètres requis dans le trafic et les ajoute à la liste Remplissage automatique de formulaires. Ils seront également affichés ici.

Si AppScan® ne parvient pas à identifier les paramètres, ou si vous utilisez la connexion automatique, vous devez les ajouter vous-même. Les paramètres doivent être séparés par des virgules.

Comment identifier le paramètre HTTP OTP

AppScan doit connaître le nom du paramètre qui contient l'OTP (afin de pouvoir se connecter à l’application) et l’identifie généralement lors de la validation de la procédure de connexion enregistrée. S'il n'y parvient pas, ou si vous utilisez la connexion automatique, vous devez ajouter le paramètre vous-même.

Pour identifier le paramètre :
  1. Ouvrez un navigateur et accédez à la page de connexion de votre application.
  2. Cliquez sur F12 pour ouvrir le panneau des outils de développement du navigateur (s'ouvre à droite ou en dessous du panneau principal du navigateur).
  3. Cliquez sur l'onglet Eléments pour afficher le code HTML.

    Lorsque vous sélectionnez une partie du code, l'élément est mis en évidence dans le volet principal du navigateur.

  4. Localisez l'élément qui met en évidence la zone OTP.
    Exemple :
    <input type="text" name="OTPvalue" value="">
  5. La valeur du paramètre name, sans guillemets, est le paramètre HTTP OTP dont vous avez besoin.
    Exemple :
    OTPvalue
  6. S'il existe plusieurs paramètres HTTP OTP, séparez-les par des virgules.