Créer un examen (configuration complète)
Fournissez l'URL de départ et les données d'identification de l'utilisateur pour l'examen, sélectionnez le type de site, puis (à défaut) vérifiez votre droit à examiner le site.
Avant de commencer
- Sauvegardez votre site avant de l'examiner.
- Si vous ne l'avez pas encore fait, créez une application pour vos examens.
- Vérifiez auprès de ASoC que vous êtes autorisé à analyser le domaine (voir Vérification d'un domaine)
- Si votre site n'est pas disponible en ligne et que AppScan Presence n'existe pas encore sur le serveur : Création de l'instance AppScan Presence.
- En cas d'examen d'un site de production en direct, consultez d'abord à la section Quelles modifications dois-je apporter lors de l'examen d'un site de production opérationnel ?
Procédure
- Sur la page Application spécifique, cliquez sur Créer un examen, puis cliquez sur Créer un examen sous Analyse dynamique (DAST) pour ouvrir l'assistant.
-
Cliquez sur Nouvel examen.
Cliquez sur les panneaux pour indiquer des valeurs ou modifier les paramètres selon vos besoins. Dans de nombreux cas, les valeurs par défaut sont suffisantes. Lorsque vous avez terminé, cliquez sur Examen.
-
Cibles : URL de départ et domaines
Vous devez saisir l'URL de départ pour l'examen.
Paramètre
Options
URL de départ
- Zone d'URL
- Pour les applications Web, saisissez l'URL à partir de laquelle l'examen doit commencer. Si vous saisissez l'URL au format IPv6, placez-la entre crochets []. Par exemple, [2001:0000:130F:0000:0000:09C0:876A:130B]. Pour les API Web, il n'y a pas d'URL de départ. Saisissez n'importe quelle URL valide dans le domaine du service que vous souhaitez examiner.
- Examiner le site de démonstration
- Cliquez sur ce lien pour renseigner l'URL du site de démonstration AppScan. Vous pouvez ainsi exécuter un examen sans vérification de domaine. Dans l'onglet Connexion, saisissez le Nom d'utilisateur
JSmith
et le Mot de passeDemo1234
.Remarque : L'exécution d'un examen du site de démonstration n'est pas prise en compte dans votre limite de licence tant que vous utilisez l'adresse URL complète fournie. Si vous retirez le commutateur?mode=demo
, l'examen est comptabilisé dans votre nombre maximal de travaux. - Inclure uniquement les liens dans et sous ce répertoire
- Cochez cette case pour exclure tout domaine externe, parallèle ou secondaire pouvant être détecté en tant que liens lors de l'examen. Lorsque cette case est décochée, l'examen peut inclure des domaines autres que ceux de l'URL de départ, et ces domaines doivent être vérifiés. Pour plus d'informations, consultez Exemples de vérification de domaine.
Domaines à tester
Répertorie tous les domaines à inclure dans l'examen. L'URL de départ que vous saisissez est ajoutée ici automatiquement. Tous les domaines doivent être vérifiés, sauf si votre réseau est privé et si vous utilisez une instance Presence.
Si votre site comprend des domaines autres que ceux de l'URL de départ et que vous souhaitez les examiner, cliquez sur Ajouter un autre domaine pour les ajouter.
Une coche verte en regard de chaque domaine indique qu'il a été vérifié. Pour les domaines qui n'ont pas encore été vérifiés, accédez à Organisation > Domaines > Vérifier un nouveau domaine.Remarque : L'option permettant de sélectionner l'environnement de transfert ou de production a été récemment supprimée car elle n'est plus nécessaire. Pour plus d'informations, voir Pourquoi ne puis-je plus indiquer que l'environnement doit être Transfert ou Production ?. - Cibles : Examen de site privé
Le balayage de site public est la valeur par défaut. Si votre site n'est pas disponible sur internet, cliquez sur Réseau privé. Sélectionnez votre présence dans la liste des présences connectées.
Si vous n'avez pas encore créé de une instance AppScan Presence, vous pouvez le faire maintenant en cliquant sur le lien Présences et en mentionnant Création de l'instance AppScan Presence.
-
Authentification et connectivité : Gestion de connexion
Par défaut, la connexion n'est pas requise.
Laissez cette sélection telle qu'elle est si :- Aucune connexion/autorisation n'est requise, ou
- (API Web) L'autorisation utilise une valeur fixe ou à long terme, telle qu'une clé API ou un jeton porteur fixe.
Paramètre
Options
Connexion
- Connexion requise : Nom d'utilisateur et mot de passe
- Indiquez si ASoC peut se connecter, si besoin, à l'aide des informations d'identification, mais sans procédure spéciale. Vous pouvez également saisir une troisième information d'identification (facultative). Exemple :
PIN# = 1234
. Cependant, l'utilisation d'une troisième information d'identification nécessite l'intervention de l'équipe de support d'ASoC, et l'examen peut prendre plus de temps.Remarque : CAPTCHA non pris en charge.Conseil : ASoC recommande d'utiliser les informations d'identification de test plutôt que celles d'un utilisateur réel.Cette option n'est pas pertinente pour les API Web. - Connexion requise : Connexion enregistrée
- Si une procédure de connexion spéciale est nécessaire, sélectionnez cette option pour charger un enregistrement de la procédure à utiliser par ASoC chaque fois qu'il doit se connecter aux applications lors de l'examen. Vous pouvez procéder à cet enregistrement à l'aide de AppScan Activity Recorder (enregistré en tant que fichier
CONFIG
) ou de AppScan Standard (exporté en tant que fichierLOGIN
).Important : La séquence de connexion enregistrée doit contenir les requêtes suivantes :- Requête de connexion/d'autorisation
- Demande supplémentaire connectée/autorisée. Cette requête « supplémentaire » aide AppScan à identifier une autorisation réussie et à maintenir la session lors du test de l'application.
Pour plus d'informations sur l'enregistrement d'un fichier
CONFIG
ouLOGIN
, voir Enregistrement du trafic et Enregistrement de la connexion à l'aide d'AppScan Standard.
-
Authentification et connectivité : Authentification HTTP
En plus des informations de connexion, indiquez si l'application exige une authentification HTTP (Negotiate, NTLM, Kerberos, ADFS, Basic ou Digest). Saisissez le Nom d'utilisateur, le Mot de passe et le Domaine (facultatif) à utiliser par ASoC lors de l'examen.
-
Authentification et connectivité : Mot de passe à usage unique
Si votre site requiert un mot de passe ponctuel pour permettre aux utilisateurs de se connecter (MFA), cochez cette case et renseignez les quatre premiers champs de la boîte de dialogue.
Paramètre
Options
Utiliser un mot de passe à usage unique et à durée limitée
- Clé secrète
- Longueur du mot de passe à usage unique (nombre de chiffres)
- Algorithme de hachage utilisé (sélectionner dans la liste déroulante)
- Etape de temps (en secondes)
Remarque : TOTP est le seul OTP pris en charge dans cet assistant. Pour plus d'options OTP, vous pouvez configurer un examen dans AppScan Standard et le charger vers ASoC. Lors de la configuration d'un examen dans AppScan Standard avec OTP, vous devez utiliser la connexion basée sur les actions, et non la connexion basée sur les demandes. Pour plus d'informations, consultez la documentation AppScan Standard.Paramètres HTTP du mot de passe à usage unique (facultatif) Si vous avez utilisé "Connexion requise : Connexion enregistrée » à l'étape précédente, ce dernier champ n'est généralement pas requis, car AppScan identifie généralement les en-têtes OTP lui-même, lors de la validation de la procédure de connexion enregistrée au début de l'examen.
Si vous avez utilisé l'option Connexion requise : Nom d'utilisateur et mot de passe, vous devez ajouter le paramètre ici. S'il en existe plusieurs, séparez-les par des virgules.
Exemple d'en-tête OTP possible :
OTPvalue
-
Authentification et connectivité : Communication
Définissez le nombre maximal de requêtes qu'ASoC peut envoyer simultanément au site.
Paramètre
Options
Nombre d'unités d'exécution
Réduisez la limite si votre site n'autorise pas ce nombre. Si votre site n'autorise pas les threads simultanés, réduisez la limite à 1.
Délai d'attente de communication du serveur
- Ajuster automatiquement pendant l'examen
- Permettez à ASoC de décider de la durée d'attente d'une réponse particulière avant la fin du délai d'attente. Cela peut considérablement réduire la durée de l'examen.
- Corrigé
- Définissez le délai maximal durant lequel ASoC attend une réponse. Augmentez ce paramètre si les réponses de votre site sont lentes et qu'ASoC manque des réponses en raison du court délai d'attente.
Limite de taux de requête
Par défaut, ASoC envoie ses demandes au site aussi rapidement que possible. Si cette limite risque de surcharger votre réseau ou serveur, vous pouvez la réduire.
-
Authentification et connectivité : Explorer
Définissez la manière dont ASoC explore le site pendant l'examen.
Paramètre
Options
Remplissage automatique de formulaires
ASoC utilise les valeurs par défaut des paramètres de remplissage de formulaire AppScan Standard pour remplir et soumettre des formulaires sur le site.Important : Si vous examinez un site de production en direct, nous vous recommandons de désactiver cette fonction. Pour plus d'informations, reportez-vous à Quelles modifications dois-je apporter lors de l'examen d'un site de production opérationnel ?Remarque : Si vous désactivez le remplissage et l'examen automatiques des formulaires AppScan sur Cloud, toutes les informations renseignées dans les formulaires seront supprimées, à l'exception des données de gestion de connexion. AppScan ne remplit pas les formulaires automatiquement pendant le balayage. Lorsque vous importez cet examen dans AppScan Standard, le remplissage automatique du formulaire est activé, mais les données de remplissage du formulaire, à l'exception de la gestion des connexions, sont vides.Type
- Explorer automatiquement
- AppScan explore automatiquement l'application Web, à partir de l'URL de départ, afin de détecter les pages qu'il testera. Cette option n'est pas pertinente pour les API Web. Privilégiez l'option suivante.
- Explorer avec guide
- Chargez votre propre phase d'exploration enregistrée pour qu'AppScan la teste. Vous pouvez l'utiliser seule ou en plus d'une phase d'exploration automatique.
Explorer avec guide
Cette section est uniquement active si vous avez sélectionné Explorer avec guide. Charger l'enregistrement
Chargez un ou plusieurs fichiers de trafic
DAST.CONFIG
. Pour plus d'informations sur cet enregistrement, voir Enregistrement du trafic. Pour les API Web, la meilleure option est généralement le HCL AppScan Traffic Recorder.Paramètres de fichier
Si les requêtes de votre fichier de trafic doivent être envoyées dans l'ordre spécifique que vous avez enregistré, activez Plusieurs étapes. Cette méthode augmente considérablement la durée de l'examen et dès lors, ne l'utilisez qu'en cas de nécessité. Pour comprendre la différence entre Plusieurs étapes et Explorer avec guide, reportez-vous à Explorer avec guide.
Pour activer Plusieurs étapes :- Pour chaque enregistrement chargé, cliquez sur le nom de fichier et basculez l'option Activer plusieurs étapes sur Activé.
Comment utiliser l'enregistrement - Utiliser l'exploration enregistrée en plus d'une étape d'exploration totalement automatique et tout tester
- ASoC exécute sa propre phase d'exploration pour découvrir l'application et la teste en fonction de ces résultats et du fichier de trafic que vous avez chargé. Cette option n'est pas pertinente pour les API Web. Privilégiez l'option suivante.
- Ne tester et n'analyser que l'exploration enregistrée
- ASoC traite le fichier chargé comme la phase d'exploration pour l'examen. Il analyse et crée des tests pour le trafic enregistré uniquement, puis les teste. Il n'y aura pas de phase d'exploration automatique.
-
Tests : Stratégie de test et optimisation
ASoC applique la stratégie de test par défaut AppScan Standard aux examens. L'assistant ne permet pas de modifier ce paramètre.
Paramètre
Options
Stratégie de test
Vous pouvez appliquer une stratégie de test différente en configurant l'examen dans AppScan Standard, ou via l'API. La stratégie de test ne peut pas être modifiée dans l'assistant.Conseil : La stratégie de test est différente de la stratégie d'application.Optimisation des tests
Sélectionnez le niveau de compromis entre la vitesse de l'examen et la couverture des problèmes pour vos besoins. Le curseur propose quatre niveaux. La valeur par défaut est Rapide. Pour plus d'informations, reportez-vous à Optimisation du test.
Tests de connexion/déconnexion Choisissez si vous souhaitez envoyer des tests sur les pages de connexion et de déconnexion. Si vous choisissez d'envoyer des tests sur les pages de connexion, indiquez si vous souhaitez envoyer des identificateurs de session. -
Tests : Options de test
Choisissez si vous souhaitez envoyer des tests sur les pages de connexion et de déconnexion. Si vous choisissez d'envoyer des tests sur les pages de connexion, indiquez s'il faut envoyer des identifiants de session.
-
Préférences : Planifier
Spécifiez quand l'analyse doit s'exécuter : maintenant, plus tard ou selon un calendrier.
Paramètre
Options
Examiner maintenant
Votre examen s'exécute une fois la configuration et la révision terminées.
Enregistrer pour plus tard
Votre configuration est enregistrée une fois terminée. Vous pouvez exécuter l'examen ultérieurement.
Planifier Votre configuration est enregistrée et un ou plusieurs examens s'exécutent comme configuré :- Sélectionnez une date et une heure. Saisissez-les en fonction du fuseau horaire configuré sur votre ordinateur, mais notez que les heures seront converties en UTC lorsqu'elles seront affichées dans l'interface utilisateur.
- Pour exécuter l'examen plusieurs fois, sélectionnez Répéter, puis choisissez :
- Tous les jours et sélectionnez un intervalle quotidien (de 1 à 30 jours)
- Toutes les semaines, et sélectionnez le jour, ou
- Tous les mois, sélectionnez un intervalle mensuel, puis sélectionnez le jour numérique du mois ou le jour de la semaine du mois (premier, deuxième, troisième, quatrième, dernier).
Remarque : Si le nombre maximal d'examens simultanés est en cours d'exécution à heure planifiée, l'examen démarre dès que votre abonnement le permet. - Définissez la date de fin (date de dernière exécution d'un examen) ou cliquez sur Supprimer la date de fin pour que le planning s'exécute indéfiniment.
-
Préférences : options d'examen
Dans le volet Options d'examen, vous pouvez :
- Choisir d'exécuter l'examen en tant qu'examen personnel.
- Choisir de recevoir un courrier électronique à la fin de l'examen.
- Spécifier Activation des examens. Par défaut, la case Autoriser l'intervention est cochée. Ainsi, si ASoC détecte que l'examen peut produire des résultats médiocres avec les paramètres actuels, il en informe l'équipe d'activation des examens afin qu'elle les revoie. Le statut de l'examen passe ensuite à En cours de révision et reprend une fois cette opération terminée (voir Statut de l'examen).
- Si vous ne souhaitez pas autoriser l'intervention de l'équipe d'activation des examens, décochez la case.
- Si vous autorisez cette intervention, vous pouvez inclure un message à l'attention de l'équipe si vous pensez qu'elle peut avoir besoin d'informations spécifiques pour résoudre un problème. Facultatif.
-
Récapitulatif
Modifiez le nom de l'examen, si vous le souhaitez, et examinez les paramètres sélectionnés pour l'examen. Cliquez sur les volets précédents pour effectuer des modifications si nécessaire.
- Cliquez sur Examen.