Déploiement d'un agent IAST .NET

Vous pouvez déployer un agent IAST sur le serveur d'applications qui prend en charge les applications Java, .NET, Node.js ou PHP. Cette section explique comment créer un type d'agent .NET sur votre serveur Web.

Pourquoi et quand exécuter cette tâche

Utilisez le gestionnaire de packages NuGet pour ajouter l'agent IAST à votre application. L'exemple ci-dessous s'applique à Visual Studio, mais la procédure est similaire pour d'autres IDE.

Procédure

  1. Configurer la source du package NuGet :
    1. Ouvrez Visual Studio et accédez à Menu > Outils > Options > Gestionnaire de packages NuGet > Source du package.
    2. Sélectionnez le dossier contenant le package SecAgent.
    3. Cliquez sur le signe + et donnez un nom à la nouvelle source.
  2. Identifier les projets de serveur Web : L'agent IAST doit uniquement être installé sur vos projets de serveur Web qui sont généralement chargés de la diffusion de contenu Web (projets ASP.NET Core ou ASP.NET MVC, par exemple). Identifiez ces projets en recherchant les fichiers tels que Startup.cs, Controllers ou wwwroot.
  3. Installer l'agent IAST NuGet : Dans l'explorateur de solutions, cliquez avec le bouton droit de la souris sur le projet de serveur Web, puis sur Gérer les packages NuGet. Recherchez com.HCL.AppScan.IAST.agent et sélectionnez le premier package dans les résultats. Cliquez sur Installer. Répétez cette étape pour chaque projet de serveur Web de votre solution.
  4. Définir la variable d'environnement (pour .NET Core uniquement) : si vous utilisez .NET Core, définissez la variable d'environnement suivante :
    "ASPNETCORE_HOSTINGSTARTUPASSEMBLIES": "SecagentCore"
  5. Vérifier l'installation :
    1. Pour .NET Framework : Ouvrez le fichier web.config et veillez à ajouter les lignes suivantes :
    <system.webServer>
                                <modules>
                                  <add name="SecagentModule" type="Secagent.SecagentModule" preCondition="managedHandler" />
                                </modules>
                              </system.webServer>
                            ...
                              <appSettings>
                                <add key="IASTAgentKey" value="<key to access asoc app>" />
                                <add key="IASTHost" value="https://cloud.appscan.com/IAST/" />
                                <add key="IASTActive" value="true" />
                              </appSettings>
    1. Pour .NET Core : Assurez-vous qu'un fichier asoc-config.json a été ajouté au dossier racine de votre projet.
    L'agent est désormais installé. Au fur et à mesure que vous utilisez ou testez votre application (en effectuant des tests fonctionnels, un examen dynamique ou en explorant l'application manuellement), l'agent IAST surveillera les requêtes et signalera les problèmes de sécurité qu'il détecte.