Options de test

Vue Options de test de la boîte de dialogue Configuration.

Cette vue permet de configurer divers paramètres affectant la longueur et la précision de l'examen. Les paramètres par défaut sont cependant suffisants dans la plupart des cas.

Paramètre

Détails

Tester les options :

Utiliser des tests adaptatifs

AppScan® peut envoyer plusieurs milliers de tests à un site. Cependant, pour réduire le temps d'examen, il peut envoyer des tests préliminaires qui déterminent, de façon intelligente, quels sont les tests appropriés à envoyer et quels sont ceux qui ne le sont pas. Ce sont les "tests adaptatifs". Ils peuvent considérablement réduire le temps d'examen, sans pour autant faire baisser l'efficacité.

Décochez cette case si vous souhaitez que AppScan® envoie tous ses tests au site.

Autoriser l'examen en plusieurs phases

AppScan® analyse les réponses aux tests qu'il envoie à votre application. A partir de cette analyse, AppScan® découvre fréquemment du contenu supplémentaire, tel que des liens invisibles lors de la première « phase » de l'examen. L'examen en plusieurs phases permet à AppScan® de répéter les étapes d'exploration et de test sur ce contenu nouvellement détecté. (La phase supplémentaire est généralement plus courte car elle n'implique que les nouveaux liens.)

L'examen en plusieurs phases est configuré par défaut pour permettre un maximum de 4 phases d'examen.

Notez que l'examen en plusieurs phases s'applique uniquement lorsque vous exécutez un examen intégral. Si vous utilisez les fonctions Exploration uniquement et Test uniquement, le résultat sera un examen à une seule phase.

Envoyer les tests sur les pages de connexion

Nous vous recommandons d'autoriser AppScan® à tester les pages de connexion, sauf si votre application interdit l'accès aux utilisateurs qui fournissent une entrée illégale ou si le flux de l'application serait altéré si AppScan® testait ces pages.

Ne pas envoyer d'identificateurs de session lors des tests des pages de connexion.

Actif uniquement si la case « Envoyer les tests sur les pages de connexion » est cochée. Il est recommandé de laisser cette case cochée, car les identificateurs de session peuvent limiter la réussite des tests lors de la vérification des pages de connexion. Désactivez cette option uniquement si vous êtes certain que des jetons de session valides sont nécessaires pour tester vos pages de connexion.

Notez que même lorsque cette case est cochée, certains tests sont tout de même envoyés avec des identificateurs de session, pour éviter les résultats faux positifs.

Envoyer les tests sur les pages de déconnexion

Nous vous recommandons d'autoriser AppScan® à tester les pages de déconnexion, sauf si votre application interdit l'accès aux utilisateurs qui fournissent une entrée illégale ou si le flux de l'application serait altéré si AppScan® testait ces pages.

Enregistrer une seule variante par problème

Par défaut, AppScan teste plusieurs variantes par problème pour garantir une détection complète des vulnérabilités. Pour optimiser le temps d'examen, vous pouvez activer cette option qui permet à AppScan de cesser les tests dès que la première variante d'un problème est détectée. Bien que cela réduise le temps d'analyse, il est important de garder à l'esprit que certaines vulnérabilités avec différentes variations peuvent être manquées.

Analyser les réponses aux tests pour détecter les problèmes qui dépassent la portée spécifique du test

Lorsque cette option est sélectionnée, AppScan analyse chaque réponse du test pour détecter d'autres problèmes de sécurité en plus de celui qu'il a testé. Désélectionnez cette option si l'application est très grande ou si les examens génèrent un grand nombre de résultats faux positifs.

Analyser une seule variante pour les problèmes qui dépassent la portée spécifique du test

Par défaut, AppScan analyse une seule variante pour les types de problèmes plus larges afin d'améliorer l'efficacité et d'éviter la redondance. Pour analyser d'autres variantes, désélectionnez cette option, mais notez que cela augmentera le temps d'examen.

Si vous avez sélectionné « Enregistrer uniquement une variante par problème » et « Analyser les réponses aux tests pour les problèmes au-delà du périmètre spécifique des tests », cette option est sélectionnée par défaut et ne peut pas être modifiée.

Tester les problèmes de sécurité des cookies dans les demandes de soumission de formulaire uniquement

Lorsque ce paramètre est sélectionné (par défaut), AppScan® applique les tests associés à des cookies uniquement aux cookies utilisés dans les requêtes de soumission de formulaire. Pour une précision plus élevée (impliquant également une durée d'examen plus longue), décochez cette case afin que AppScan® soumette des tests de cookie pour toutes les requêtes HTTP pertinentes.

Signaler les composants vulnérables

Les composants tiers de votre code sont identifiés lors de la phase d'exploration et s'affichent dans la vue Données.

Lorsque cette option est sélectionnée (par défaut), ADAC signale les vulnérabilités connues dans ces composants dans la vue Problèmes et suggère des mises à jour.

Remarque : Si vous apportez des modifications aux Options de test après un examen, il est possible qu'une invite vous demande de procéder à un nouvel examen, car toutes les modifications peuvent s'appliquer aux résultats existants.