Créer un examen à partir d'un modèle de fichier

Vous pouvez charger votre propre modèle de fichier AppScan Standard (SCANT) pour exécuter un examen ASoC.

Avant de commencer

Sauvegardez votre site avant de l'examiner.
Si vous ne l'avez pas encore fait, créez une application pour vos examens.
Vérifiez auprès de ASoC que vous êtes autorisé à analyser le domaine (voir Vérification d'un domaine)
Si votre site n'est pas disponible en ligne et que AppScan Presence n'existe pas encore sur le serveur : Création de l'instance AppScan Presence.
En cas d'examen d'un site de production en direct, consultez d'abord à la section Quelles modifications dois-je apporter lors de l'examen d'un site de production opérationnel ?

Procédure

Sur la page Application spécifique, cliquez sur Créer un examen, puis sélectionnez Dynamique (DAST) pour ouvrir l'assistant.
Sélectionnez Depuis le modèle.
Téléchargez le fichier :
Glissez et déposez le modèle de fichier (SCANT) dans la boîte de dialogue ou cliquez pour sélectionner le fichier.

Remarque : Activez l'option « Autoriser l'intervention » lors de la création de l'analyse pour permettre à l'équipe chargée de la mise en œuvre de l'analyse d'examiner l'analyse en cas d'échec. Par défaut, l'intervention est désactivée pour les analyses ou les modèles téléchargés.
Le fichier est ouvert et l'adresse URL de départ de la configuration est renseignée dans le champ URL.
Si votre fichier inclut des données d'exploration, vous avez la possibilité d'exécuter l'étape de test uniquement, ou un examen complet (étapes d'exploration et de test).
- Exécuter un examen intégral, ou
- Exécuter l'étape de test uniquement
Examen de site privé :

L'examen de site public est la valeur par défaut. Si votre site n'est pas disponible sur internet, cliquez sur Réseau privé. Sélectionnez votre présence dans la liste des présences connectées.

Si vous n'avez pas encore créé de une instance AppScan Presence, vous pouvez le faire maintenant en cliquant sur le lien Présences et en mentionnant Création de l'instance AppScan Presence.

Exploration :


Paramètre	Options
Remplissage automatique de formulaires	ASoC utilise les valeurs par défaut des paramètres de remplissage de formulaire AppScan Standard pour remplir et soumettre des formulaires sur le site. Important : Si vous examinez un site de production en direct, nous vous recommandons de désactiver cette fonction. Pour plus d'informations, reportez-vous à Quelles modifications dois-je apporter lors de l'examen d'un site de production opérationnel ? Remarque : Si vous désactivez le remplissage et l'examen automatiques des formulaires AppScan sur Cloud, toutes les informations renseignées dans les formulaires seront supprimées, à l'exception des données de gestion de connexion. AppScan ne remplit pas les formulaires automatiquement pendant le balayage. Lorsque vous importez cet examen dans AppScan Standard, le remplissage automatique du formulaire est activé, mais les données de remplissage du formulaire, à l'exception de la gestion des connexions, sont vides.
Type	Explorer automatiquement AppScan explore automatiquement l'application Web, à partir de l'URL de départ, afin de détecter les pages qu'il testera. Cette option n'est pas pertinente pour les API Web. Privilégiez l'option suivante. Explorer avec guide Chargez votre propre phase d'exploration enregistrée pour qu'AppScan la teste. Vous pouvez l'utiliser seule ou en plus d'une phase d'exploration automatique. Pour plus d'informations sur les deux types d'exploration, consultez A propos de l'analyse dynamique (DAST)
Explorer avec guide	Cette section est uniquement active si vous avez sélectionné Explorer avec guide.
Charger l'enregistrement	Chargez un ou plusieurs fichiers de trafic `DAST.CONFIG`. Pour plus d'informations sur cet enregistrement, voir Enregistrement du trafic. Pour les API Web, la meilleure option est généralement le HCL AppScan Traffic Recorder.
Paramètres de fichier	Si les requêtes de votre fichier de trafic doivent être envoyées dans l'ordre spécifique que vous avez enregistré, activez Plusieurs étapes. Cette méthode augmente considérablement la durée de l'examen et dès lors, ne l'utilisez qu'en cas de nécessité. Pour comprendre la différence entre Plusieurs étapes et Explorer avec guide, reportez-vous à Explorer avec guide. Pour activer Plusieurs étapes : Pour chaque enregistrement chargé, cliquez sur le nom de fichier et basculez l'option Activer plusieurs étapes sur Activé.
Comment utiliser l'enregistrement	Utiliser l'exploration enregistrée en plus d'une étape d'exploration totalement automatique et tout tester ASoC exécute sa propre phase d'exploration pour découvrir l'application et la teste en fonction de ces résultats et du fichier de trafic que vous avez chargé. Cette option n'est pas pertinente pour les API Web. Privilégiez l'option suivante. Ne tester et n'analyser que l'exploration enregistrée ASoC traite le fichier chargé comme la phase d'exploration pour l'examen. Il analyse et crée des tests pour le trafic enregistré uniquement, puis les teste. Il n'y aura pas de phase d'exploration automatique.

Planning :


Paramètre	Options
Examiner maintenant	Votre examen s'exécute une fois la configuration et la révision terminées.
Enregistrer pour plus tard	Votre configuration est enregistrée une fois terminée. Vous pouvez exécuter l'examen ultérieurement.
Planifier	Votre configuration est enregistrée et un ou plusieurs examens s'exécutent comme configuré : Sélectionnez une date et une heure. Saisissez-les en fonction du fuseau horaire configuré sur votre ordinateur, mais notez que les heures seront converties en UTC lorsqu'elles seront affichées dans l'interface utilisateur. Pour exécuter l'examen plusieurs fois, sélectionnez Répéter, puis choisissez : Tous les jours et sélectionnez un intervalle quotidien (de 1 à 30 jours) Toutes les semaines, et sélectionnez le jour, ou Tous les mois, sélectionnez un intervalle mensuel, puis sélectionnez le jour numérique du mois ou le jour de la semaine du mois (premier, deuxième, troisième, quatrième, dernier). Remarque : Si le nombre maximal d'examens simultanés est en cours d'exécution à heure planifiée, l'examen démarre dès que votre abonnement le permet. Définissez la date de fin (date de dernière exécution d'un examen) ou cliquez sur Supprimer la date de fin pour que le planning s'exécute indéfiniment.

Options d'examen :
Dans le volet Options d'examen, vous pouvez :
- Choisir d'exécuter l'examen en tant qu'examen personnel.
- Choisir de recevoir un courrier électronique à la fin de l'examen.
- Spécifier Activation des examens. Par défaut, la case Autoriser l'intervention est cochée. Ainsi, si ASoC détecte que l'examen peut produire des résultats médiocres avec les paramètres actuels, il en informe l'équipe d'activation des examens afin qu'elle les revoie. Le statut de l'examen passe ensuite à En cours de révision et reprend une fois cette opération terminée (voir Statut de l'examen).
  - Si vous ne souhaitez pas autoriser l'intervention de l'équipe d'activation des examens, décochez la case.
  - Si vous autorisez cette intervention, vous pouvez inclure un message à l'attention de l'équipe si vous pensez qu'elle peut avoir besoin d'informations spécifiques pour résoudre un problème. Facultatif.
Récapitulatif :

Modifiez le nom de l'examen, si vous le souhaitez, et examinez les paramètres sélectionnés pour l'examen. Cliquez sur les panneaux précédents pour effectuer des modifications si nécessaire.
Cliquez sur Examen.

Résultats

Le nouvel examen est ajouté à la vue Examens avec son heure de démarrage, et une barre de progression indique que l'examen est en cours d'exécution. Une fois l'examen terminé, la barre de progression se ferme, les résultats sont résumés dans un graphique et (si l'option est sélectionnée), vous recevez une notification par e-mail. Voir Résultats.

Remarque : Les examens de plan gratuit ont une durée limitée de quatre heures. Dès lors, il se peut qu'ils ne couvrent pas de sites volumineux ou complexes.