Configurer et exécuter un examen LLM

Configurez l'accès du fournisseur, capturez une séquence LLM représentative, activez les fonctionnalités requises et exécutez un examen dans un environnement de test contrôlé.

Avant de commencer

Assurez-vous de disposer d'un compte Azure OpenAI.

Procédure

  1. Configurez l'accès et les clés du fournisseur. Reportez-vous à la section Configurer l'accès du fournisseur.
  2. Créez un examen d'application Web : Sur la page Application spécifique, cliquez sur Créer un examen, sur Créer un examen sous Analyse dynamique (DAST), puis sur Examen d'une application Web.
  3. Saisissez l'URL de départ et les domaines, ainsi que les autres configurations d'examen requises.
  4. Sous Cibles > LLM :
    1. Utilisez l'extension Activity Recorder (pour Chrome et Edge) pour localiser le service LLM dans l'application.
    2. Démarrez l'enregistrement et accédez au service LLM.
    3. Saisissez et envoyez l'invite : AppScan
    4. Arrêtez l'enregistrement et chargez le fichier d'enregistrement.
    5. Cochez la case Utiliser les paramètres de connexion pour accéder à LLM si ASoC doit utiliser les paramètres de gestion de connexion pour accéder à LLM.
    6. Connectivité de base de données LLM (facultatif) : Cochez la case Le LLM est connecté à une base de données et indiquez le nom de la table connectée à la base de données pour mapper et tester entièrement la surface d'attaque de la base de données du service LLM. AppScan utilise ces informations pour simuler les attaques par injection et identifier les vulnérabilités qui pourraient permettre un accès non autorisé aux données.
  5. Si le domaine LLM diffère de l'URL de départ, ajoutez-le à la liste « Domaines à tester ».
  6. Cliquez sur Examiner pour exécuter l'examen. Vous pouvez afficher le statut de l'analyse sur la page Examens et sessions.

Résultats

L'examen identifie les vulnérabilités et fournit des preuves et des conseils de résolution. AppScan présente les résultats avec des preuves pour rationaliser le triage dans le volet Détails du problème.

Page Informations sur les problèmes affichant les vulnérabilités LLM identifiées

  • L'interaction de test LLM affiche la conversation qui a conduit AppScan à signaler une vulnérabilité. Pour les autres problèmes, il s'agit de la section Demandes et réponses de test.
  • Pour filtrer les vulnérabilités LLM, saisissez le préfixe « llm » dans la barre de recherche des problèmes.

    Informations sur les problèmes affichant les problèmes filtrés par LLM

Que faire ensuite

  • Générez le rapport Top 10 OWASP pour les applications LLM 2025.