Explorer avec guide

La fonction Explorer avec guide vous permet d'explorer des parties spécifiques de votre application, en remplissant les zones et les formulaires au fur et à mesure pour « guider » ASoC vers ces zones, en vous assurant qu'elles sont testées dans l'examen DAST et qu'ASoC dispose des informations nécessaires pour remplir correctement les formulaires et, le cas échéant, pour parcourir les liens dans un ordre spécifique.

Utilisez Explorer avec guide lorsqu'une entrée utilisateur spécifique est requise, ou si un site répond à un type d'outil ou de périphérique différent.

Il existe deux façons d'enregistrer le trafic à utiliser comme données Explorer avec guide :
  • Utilisation d'AppScan Activity Recorder (une extension pour votre navigateur Web Chrome ou Edge)
  • Utilisation d'HCL AppScan Traffic Recorder (peut être le plus adapté dans le cas des API Web)
Dans les deux cas, le trafic est enregistré dans un fichier DAST.CONFIG.
Lors de la création de votre examen ASoC, utilisez Explorer avec guide de l'une des trois manières suivantes :
  • En tant que phase d'exploration de l'examen, et testez uniquement les parties de l'application qu'elle inclut.
  • En plus d'une phase d'exploration automatique, ASoC explore l'application automatiquement et teste à la fois votre enregistrement et ses propres données d'exploration.
  • Utilisez l'exploration manuelle dans AppScan Standard, enregistrez-la en tant que fichier SCAN, puis chargez le fichier dans ASoC pour créer un examen. Exploration manuelle dans AppScan Standard correspond à Explorer avec guide dans ASoC.

L'exploration avec guide s'applique uniquement aux examens DAST. Votre fichier DAST.CONFIG est chargé et les instructions sont configurées dans la phase d'exploration de l'assistant d'examen. Voir Configuration des examens DAST > Explorer.

Pour plus d'informations sur l'enregistrement du trafic, voir Enregistrement du trafic.

Exploration en plusieurs étapes

L'exploration en plusieurs étapes est un type spécifique d'exploration guidée, où vous ne montrez pas seulement à ASoC quels liens explorer, mais aussi l'ordre spécifique de l'exploration. Utilisez l'exploration en plusieurs étapes pour tester les parties du site qui ne peuvent être atteintes qu'en envoyant des requêtes dans un ordre spécifique, comme une boutique en ligne où l'utilisateur ajoute des articles dans un panier avant de les payer.

Par exemple, considérons les trois pages suivantes d'un site :
  1. L'utilisateur ajoute un ou plusieurs articles dans un panier.
  2. L'utilisateur remplit les détails pour le règlement et la livraison.
  3. L'utilisateur reçoit la confirmation que la commande est terminée.
La page deux n'est accessible qu'une fois la page une terminée. La page trois n'est accessible qu'une fois la page deux terminée. Il s'agit d'une séquence. Pour pouvoir tester les pages deux et trois, ASoC doit envoyer la séquence correcte de requêtes HTTP avant chaque test.
Dans l'exemple ci-dessus, vous pouvez enregistrer un enregistrement d'exploration guidée (DAST.CONFIG) où vous parcourez la page 1 > la page 2 > la page 3. ASoC extrait les sous-séquences nécessaires de cette séquence, selon les besoins : lors du test de la page deux, il envoie d'abord une requête de page une ; lors du test de la page trois, il envoie la page une suivie de la page deux.
Important : Etant donné que toute étape d'un enregistrement à plusieurs étapes doit être précédée de toutes ses étapes précédentes, et qu'une étape particulière peut être testée des centaines de fois dans un examen, l'activation de l'exploration Plusieurs étapes peut considérablement augmenter la durée de l'examen. Elle ne doit être utilisée que lorsque l'ordre des requêtes est essentiel pour atteindre une partie spécifique de l'application.

Plusieurs fichiers DAST.CONFIG

Vous pouvez charger plusieurs fichiers pour un seul examen. S'il est activé, le paramètre Plusieurs étapes est appliqué à tous les fichiers. Voir Configuration des examens DAST > Explorer.