Stratégies de test

Les stratégies de test sont une liste de paramètres d'examen de sécurité des applications Web. Vous pouvez sélectionner l'une des stratégies de test prédéfinies disponibles lors de l'exécution d'examens à partir de l'interface utilisateur ASoC, mais d'autres stratégies peuvent être appliquées avec des examens importés ou des examens exécutés à partir de l'API. Vous pouvez également télécharger des stratégies de test personnalisé que vous avez créées dans AppScan Standard et AppScan Enterprise.

Le nombre de tests AppScan possibles pour un site peut atteindre les milliers. Plutôt que de filtrer manuellement un grand nombre de tests et de variantes de test, vous pouvez définir une "stratégie" pour le type de test que vous souhaitez exécuter sur votre application.

La stratégie de test est configurée dans Configuration d'examen DAST.

Stratégies de test prédéfinies

Nom de la stratégie

Description

Terminer

Inclut tous les tests possibles.

Par défaut

Inclut tous les tests, à l'exception des tests invasifs et d'écouteur des ports.

Rapport OWASP Top 10 2021

Comprend tous les tests pour les dernières 10 principales catégories de vulnérabilités mappées par OWASP.

OWASP : les 10 principaux risques liés à la sécurité des API en 2023

Comprend tous les tests pour les dernières 10 principales catégories de vulnérabilités API mappées par OWASP.

Site de production

Exclut les tests invasifs susceptibles de dégrader le site ou les tests pouvant entraîner un refus de service aux autres utilisateurs.

Astuce : Si vous appliquez l'option Optimisation du test à la configuration d'examen, certaines vulnérabilités de la stratégie sélectionnée peuvent ne pas être testées. Par conséquent, si vous avez sélectionné la stratégie de test Complète et que vous souhaitez que tous ses tests soient envoyés, vous devez définir l'option Optimisation du test sur Pas d'optimisation.

Ajouter une stratégie de test

Vous pouvez désormais ajouter des stratégies de test personnalisé que vous avez créées à l'aide d'AppScan Standard et d'AppScan Enterprise.

  1. Sur la page Stratégies de test, cliquez sur Ajouter une stratégie de test.
  2. Saisissez le nom de la stratégie de test et ajoutez éventuellement une description.
  3. Cliquez sur Sélectionner un fichier, puis parcourez et ouvrez le fichier de stratégie.
  4. Vous pouvez également définir cette stratégie comme stratégie de test par défaut.
  5. Cliquez sur Enregistrer.

La stratégie de test personnalisé est ajoutée et vous pouvez l'utiliser lors de la Configuration de l'examen DAST.

Voir aussi : FAQ sur l'optimisation des tests