Création d'un examen API

ASoC prend en charge différents flux de travaux pour le balayage d'une API Web. Si vous disposez d'une collection Postman, un fichier de spécifications OpenAPI ou le trafic enregistré de votre API Web, vous pouvez l'importer et l'utiliser comme base pour un examen en utilisant la configuration des examens API. Vous pouvez également utiliser les fichiers de collection Postman ou les fichier de spécifications OpenAPI avec l'API REST.

Avant de commencer

Sauvegardez votre site avant le balayage.
Si vous ne l'avez pas encore fait, créez une application pour vos examens.
Vérifiez auprès de ASoC que vous avez l'autorisation d'examiner le domaine (voir Vérification d'un domaine), ou vous pouvez autoriser des domaines sans vérification à l'aide de Gestion de domaines.
Si votre site n'est pas disponible en ligne et que AppScan Presence n'existe pas encore sur le serveur : Création de l'instance AppScan Presence.
En cas d'examen d'un site de production en direct, consultez d'abord à la section Quelles modifications dois-je apporter lors de l'examen d'un site de production opérationnel ?

Pourquoi et quand exécuter cette tâche

Cette rubrique décrit les options de configuration disponibles pour un examen API.

Procédure

Sur la page Application spécifique, cliquez sur Créer un examen, puis cliquez sur Créer un examen sous Analyse dynamique (DAST).
Dans la boîte de dialogue Créer un examen : DAST, choisissez Examen d'API pour lancer le processus de configuration.

API

Sélectionnez la méthode d'exploration de l'API :


Paramètre	Options
Chargez la collection Postman ou OpenAPI ou chargez l'enregistrement	À l'aide de la méthode d'exploration de l'API, vous pouvez télécharger des fichiers Postman, un fichier de spécification OpenAPI ou une URL (y compris l'URL de base) ou un enregistrement du trafic. AppScan on Cloud limite les chargements de fichiers à 2 Go.
Domaines à tester	Ajoutez tous les domaines que vous souhaitez inclure dans l'examen. . Vous devez ajouter au moins un domaine pour lancer l'examen. Tous les domaines doivent être vérifiés ou autorisés, sauf si votre réseau est privé et que vous utilisez une instance Presence. Ces deux formats sont valides : `https://demo.testfire.net/` `demo.testfire.net` Important : Les domaines non répertoriés ne seront pas examinés.

Cibles : Examen de site privé

Le balayage de site public est la valeur par défaut. Si votre site n'est pas disponible sur internet, cliquez sur Réseau privé. Sélectionnez votre présence dans la liste des présences connectées.

Si vous n'avez pas encore créé de une instance AppScan Presence, vous pouvez le faire maintenant en cliquant sur le lien Présences et en mentionnant Création de l'instance AppScan Presence.

Authentification et connectivité : Authentification API

Si vos données importées nécessitent un enregistrement de connexion, chargez-le pour qu'AppScan puisse examiner les nœuds finaux qui nécessitent une authentification. Vous pouvez également utiliser des outils tiers pour enregistrer la connexion et charger le fichier ici. L'authentification par clé d'API est disponible pour les API OpenAPI. Configuration de l'API affichant l'option de chargement de l'enregistrement de connexion

Configuration de l'API affichant l'option de chargement de l'enregistrement de connexion


Paramètre	Options
Enregistré	Charger l'enregistrement Si une procédure de connexion spéciale est nécessaire, sélectionnez cette option pour charger un enregistrement de la procédure à utiliser par ASoC pour se connecter aux applications lors de l'examen. Vous pouvez créer l'enregistrement à l'aide d'AppScan Activity Recorder (enregistré en tant que fichier `CONFIG`) ou d'AppScan Standard (exporté en tant que fichier `LOGIN`). Important : La séquence de connexion enregistrée doit contenir les requêtes suivantes : Une requête de connexion/d'autorisation Demande supplémentaire connectée/autorisée. Cette requête « supplémentaire » aide AppScan à confirmer une autorisation réussie et à maintenir la session lors du test de l'application. Pour plus d'informations sur l'enregistrement d'un fichier `CONFIG` ou `LOGIN`, consultez Enregistrement du trafic et Enregistrement de la connexion à l'aide d'AppScan Standard. Remarque : AppScan on Cloud limite les chargements de fichiers à 2 Go.
Clé d'API	ASoC prend en charge l'authentification API pour l'examen des API qui nécessitent une clé API, tel qu'OpenAPI. Saisissez au moins un Nom de clé et une Valeur de clé. Si nécessaire, vous pouvez ajouter un autre nom de clé et une autre valeur. Les valeurs seront enregistrées et utilisées lors de l'authentification API.
Automatique	Sélectionnez cette méthode pour qu'AppScan® puisse détecter automatiquement le formulaire de connexion de votre application et utiliser le nom d'utilisateur et le mot de passe que vous avez fournis. Vous pouvez également saisir une troisième information d'identification (facultative), tel que `PIN# = 1234`. Cependant, l'utilisation d'une troisième information d'identification nécessite l'aide de l'équipe de support d'ASoC, et l'examen peut prendre plus de temps. Remarque : CAPTCHA non pris en charge.
Aucun	Utilisez cette option lorsqu'une procédure de connexion spéciale est nécessaire.

Authentification et connectivité : Authentification HTTP
En plus des informations de connexion, indiquez si l'application exige une authentification HTTP (Negotiate, NTLM, Kerberos, ADFS, Basic ou Digest). Saisissez le Nom d'utilisateur, le Mot de passe et le Domaine (facultatif) à utiliser par ASoC lors de l'examen.

Authentification et connectivité : Communication

Définissez le nombre maximal de requêtes qu'ASoC peut envoyer simultanément au site.

Configuration de l'API affichant les options de communication


Paramètre	Options
Nombre d'unités d'exécution	Réduisez la limite si votre site n'autorise pas ce nombre. Si votre site n'autorise pas les threads simultanés, réduisez la limite à 1.
Délai d'attente de communication du serveur	Ajuster automatiquement pendant l'examen Permettez à ASoC de décider de la durée d'attente d'une réponse particulière avant la fin du délai d'attente. Cela peut considérablement réduire la durée de l'examen. Corrigé Définissez le délai maximal durant lequel ASoC attend une réponse. Augmentez ce paramètre si les réponses de votre site sont lentes et qu'ASoC manque des réponses en raison du court délai d'attente.
Limite de taux de requête	Par défaut, ASoC envoie ses demandes au site aussi rapidement que possible. Si cette limite risque de surcharger votre réseau ou serveur, vous pouvez la réduire.

Authentification et connectivité : Remplissage de formulaires

Lorsque cette option est activée, ASoC utilise les paramètres de remplissage automatique par défaut AppScan Standard pour remplir automatiquement les formulaires pendant l'examen. L'assistant ne permet pas de modifier ce paramètre. Configuration de l'API affichant l'option d'activation du remplissage de formulaire


Paramètre	Options
Remplissage automatique de formulaires	ASoC utilise les valeurs par défaut des paramètres de remplissage de formulaire AppScan Standard pour remplir et soumettre des formulaires pendant l'examen. Remarque : Si vous désactivez le remplissage et l'examen automatiques des formulaires AppScan on Cloud, toutes les informations renseignées dans les formulaires seront supprimées, à l'exception des données de gestion de connexion. AppScan ne remplit pas les formulaires automatiquement pendant le balayage. Lorsque vous importez cet examen dans AppScan Standard, le remplissage automatique du formulaire est activé, mais les données de remplissage du formulaire, à l'exception de la gestion des connexions, sont vides.

Tests : Stratégie de test et optimisation

Définissez la collection de tests qui sera envoyée à l'application pendant le test (la stratégie de test) et choisissez d'appliquer l'optimisation pour des examens plus rapides à certains moments du cycle de vie du produit où vous accordez plus d'importance à la vitesse qu'à la profondeur de l'examen. Configuration de l'API affichant la stratégie de test et les options d'optimisation


Paramètre	Options
Stratégie de test	Sélectionnez l'une des cinq stratégies de test prédéfinies ou une stratégie personnalisée en fonction du niveau de couverture requis. La stratégie par défaut est Par défaut qui inclut tous les tests sauf les tests invasifs et ceux du programme d'écoute des ports. Pour plus d'informations, voir Stratégies de test. Conseil : La stratégie de test est différente de la stratégie de conformité d'application.
Optimisation des tests	Sélectionnez le niveau de compromis entre la vitesse de l'examen et la couverture des problèmes pour vos besoins. Le curseur propose quatre niveaux. La valeur par défaut est Rapide. Pour plus d'informations, reportez-vous à Optimisation du test.

Tests : Options de test

Choisissez si vous souhaitez envoyer des tests sur les pages de connexion et de déconnexion. Si vous choisissez d'envoyer des tests sur les pages de connexion, indiquez s'il faut envoyer des identifiants de session. Configuration de l'API affichant les options de test


Paramètre	Options
Tests de connexion/déconnexion	Choisissez si vous souhaitez envoyer des tests sur les pages de connexion et de déconnexion. Si vous choisissez d'envoyer des tests sur les pages de connexion, indiquez s'il faut envoyer des identifiants de session.
Signaler les composants vulnérables	AppScan trouve les vulnérabilités des composants tiers et recommande des mises à jour.

Préférences : Planifier

Spécifiez quand l'analyse doit s'exécuter : maintenant, plus tard ou selon un calendrier. Configuration de l'API affichant les options de planification


Paramètre	Options
Examiner maintenant	Votre examen s'exécute une fois la configuration et la révision terminées.
Enregistrer pour plus tard	Votre configuration est enregistrée une fois terminée. Vous pouvez exécuter l'examen ultérieurement.
Planifier	Votre configuration est enregistrée et un ou plusieurs examens s'exécutent comme configuré : Sélectionnez une date et une heure. Saisissez-les en fonction du fuseau horaire configuré sur votre ordinateur, mais notez que les heures seront converties en UTC lorsqu'elles seront affichées dans l'interface utilisateur. Pour exécuter l'examen plusieurs fois, sélectionnez Répéter, puis choisissez : Tous les jours et sélectionnez un intervalle quotidien (de 1 à 30 jours) Toutes les semaines, et sélectionnez le jour, ou Tous les mois, sélectionnez un intervalle mensuel, puis sélectionnez le jour numérique du mois ou le jour de la semaine du mois (premier, deuxième, troisième, quatrième, dernier). Remarque : Si le nombre maximal d'examens simultanés est en cours d'exécution à heure planifiée, l'examen démarre dès que votre abonnement le permet. Définissez la date de fin (date de dernière exécution d'un examen) ou cliquez sur Supprimer la date de fin pour que le planning s'exécute indéfiniment.

Préférences : options d'examen
Dans le volet Options d'examen, vous pouvez :
- Choisir d'exécuter l'examen en tant qu'examen personnel.
- Choisir de recevoir un courrier électronique à la fin de l'examen.
Récapitulatif

Modifiez le nom de l'examen, si vous le souhaitez, et examinez les paramètres sélectionnés pour l'examen. Cliquez sur Retour jusqu'aux volets précédents pour effectuer des modifications si nécessaire.
Cliquez sur Examen.

Résultats

Le nouvel examen est ajouté à la vue Examens avec son heure de démarrage, et une barre de progression indique que l'examen est en cours d'exécution. Une fois l'examen terminé, la barre de progression se ferme, les résultats sont résumés dans un graphique et (si l'option est sélectionnée) vous recevez une notification par e-mail.

Que faire ensuite

Voir Résultats.