Mot de passe à usage unique (OTP)
Si votre application le demande, configurez AppScan® pour qu'il utilise un mot de passe à usage unique lors de la connexion.
Si votre application utilise un mot de passe à usage unique, sélectionnez l'une des deux options. Sinon, laissez le paramètre par défaut : Pas de notification
- Un seul type de mot de passe à usage unique (mot de passe à usage unique et à durée limitée ou mot de passe à usage unique généré par URL) est pris en charge par examen.
- Pour les mots de passe à usage unique et à durée limitée, seules les valeurs numériques sont prises en charge.
Option | Description |
---|---|
TOTP |
Pour les mots de passe à usage unique et à durée limitée, vous devez fournir à AppScan les informations suivantes :
Conseil : L'heure sur la machine AppScan et sur le serveur testé doit être la bonne. |
OTP généré par URL |
Si le mot de passe à usage unique est accessible à partir d'une URL désignée, vous pouvez configurer AppScan pour qu'il l'extraie à partir de la réponse de l'URL. Vous devez fournir à AppScan les informations suivantes :
|
Aucun(e) |
Le mot de passe à usage unique n'est pas utilisé par le site, ou l'examen des pages qui utilisent le mot de passe à usage unique n'est pas requis. |
Détails | |
Paramètres HTTP du mot de passe à usage unique |
Si vous avez sélectionné l'un des types de mot de passe à usage unique, lorsque vous validez la procédure de connexion enregistrée, AppScan identifie les paramètres requis dans le trafic et les ajoute à la liste Remplissage automatique de formulaires. Ils seront également affichés ici. Si AppScan® ne parvient pas à identifier les paramètres, ou si vous utilisez la connexion automatique, vous devez les ajouter vous-même. Les paramètres doivent être séparés par des virgules. |
Comment identifier le paramètre HTTP OTP
AppScan doit connaître le nom du paramètre qui contient l'OTP (afin de pouvoir se connecter à l’application) et l’identifie généralement lors de la validation de la procédure de connexion enregistrée. S'il n'y parvient pas, ou si vous utilisez la connexion automatique, vous devez ajouter le paramètre vous-même.
- Ouvrez un navigateur et accédez à la page de connexion de votre application.
- Cliquez sur F12 pour ouvrir le panneau des outils de développement du navigateur (s'ouvre à droite ou en dessous du panneau principal du navigateur).
- Cliquez sur l'onglet Eléments pour afficher le code HTML.
Lorsque vous sélectionnez une partie du code, l'élément est mis en évidence dans le volet principal du navigateur.
- Localisez l'élément qui met en évidence la zone OTP.Exemple :
<input type="text" name="OTPvalue" value="">
- La valeur du paramètre name, sans guillemets, est le paramètre HTTP OTP dont vous avez besoin.Exemple :
OTPvalue
- S'il existe plusieurs paramètres HTTP OTP, séparez-les par des virgules.