Contrôles de l'onglet de configuration QuickScan
Les utilisateurs QuickScan ont accès à une partie ou à l'intégralité de ces contrôles, selon le modèle que vous utilisez.
Nom de l'examen
Par défaut, le nom de l'examen est l'adresse URL de départ (plus tout identificateur unique) que vous avez entrée dans la page précédente ; toutefois, vous pouvez le remplacer par un nom plus significatif, si nécessaire.
Adresses URL à examiner
QuickScan a identifié ces adresses URL lorsque vous avez exploré votre application et que vous les avez classifiées en tant qu'adresses URL de connexion ou adresses URL classiques. Si une page en session a été détectée, elle est également classifiée. Une page seulement peut être en session.
Pour reclassifier une page : cliquez sur la flèche vers le haut ou vers le bas pour placer la page au-dessus de la barre des étapes de connexion ou sous la barre d'exploration dans la liste.
Pour identifier une page en session : cochez la case correspondant à la page appropriée, si l'adresse URL mise en évidence n'est pas la page que vous voulez utiliser dans la page en session, et cliquez sur le bouton En session. Notez que si vous déplacez la ligne de classification sous la page considérée comme la page en session, la classification en session est supprimée.
Pour ajouter des adresses URL : enregistrez à nouveau la connexion si nécessaire ou explorez davantage d'adresses URL pour compléter la liste.
Droits d'accès : détermine si vous êtes autorisé à examiner chaque adresse URL de la liste. Si aucun droit de sécurité n'existe pour cette adresse URL, il se peut que des restrictions de licence soient en vigueur ou que l'adresse URL ne fasse pas partie d'un groupe de serveurs qui vous a été affecté. Prenez contact avec votre administrateur de produit si vous devez étendre vos droits d'accès.
Tester l'exploration des URL sous forme de séquence ordonnée : sélectionnez cette option si des composants de votre application Web ne sont accessibles que par l'envoi de requêtes dans un ordre spécifique. L'examen exécute les URL suivant l'ordre dans lequel vous les avez enregistrées avant d'envoyer les tests. La sélection de cette option ralentit les tests.
Exploration automatique : Si vous configurez un examen de sorte qu'il explore sans limite le nombre de pages, l'examen peut prendre un temps considérable.
Nombre de pages : réduisez la durée de l'examen en entrant un nombre spécifique de pages.
Limite de profondeur : cette option permet de garantir que l'examen n'atteint que les premières pages de votre site Web. L'examen ne s'étendra pas plus loin que le nombre de pages spécifié ; la profondeur par défaut est de 20 clics. Si vous définissez une limite de profondeur inférieure à 6 clics, le rapport Pages profondes risque de ne pas contenir d'informations précises, car la limite de profondeur par défaut indiquée dans le rapport Pages profondes est de 6 clics. Remarque : Lors d'une mise à niveau, cette option n'est pas activée.
ID session de connexion : la liste des ID session de connexion affiche les cookies et les paramètres détectés lors de la connexion. Vous pouvez sélectionner des variables dans cette liste et cliquer sur les boutons Rechercher et Arrêter la recherche pour changer leur statut. Lors du suivi d'un ID session, ses valeurs sont analysées à partir de la réponse d'une demande de connexion, puis appliquées à toutes les requêtes envoyées pour le reste de la session d'examen. Si votre site utilise une valeur différente pour chaque session, il est difficile pour le travail de déterminer si une page est identique à celle d'une session précédente s'il n'effectue pas le suivi des ID session. Par défaut, le suivi de regexp:.*ses.* et regexp:.*id.* est activé. Les ID session suivis sont ajoutés à la page Paramètres et cookies. Si un paramètre personnalisé sans nom est détecté lors de la connexion et qu'il est configuré pour le suivi, la définition de ce paramètre personnalisé est modifiée.
Connexion automatique
Si l'application nécessite une connexion unique, utilisez un nom d'utilisateur et un mot de passe de sorte que l'examen puisse ouvrir la session pour vous.
Détection En session
L'icône d'état En session indique si vous avez correctement configuré la détection En session pour cet examen et si cette dernière est active, désactivée ou activée. Un message accompagne chaque icône avec une mise à jour et les éventuelles tâches de résolution.
La zone Détails affiche la case à cocher Activer la Détection en session ainsi que le masque en session que l'examen utilisera lors de son exécution pour vérifier qu'il est connecté. Cochez la case Activer la Détection en session pour cet examen, si nécessaire. Si le masque par défaut n'est pas celui que vous voulez utiliser, entrez une autre expression régulière puis cliquez sur Mettre à jour.
Stratégie de test
Une stratégie de test est un ensemble de tests de sécurité envoyé pendant l'examen.
Droits sur les examens utilisateur
Pour pouvoir effectuer des tests de sécurité, vous devez en avoir le droit. Cette liste répertorie les groupes de serveurs spécifiques, ainsi que les stratégies de test affectées, sur lesquels vous êtes autorisé à créer des examens de sécurité. Un groupe de serveurs est un ensemble d'adresses URL, d'adresses IP, ou de plages d'adresses IP. Prenez contact avec votre administrateur de produit si vous avez besoin de droits supplémentaires pour les examens.
Authentification de la plateforme
Lorsque l'examen rencontre une page qui nécessite une authentification HTTP de base ou NTLM, il fournit automatiquement le nom d'utilisateur et le mot de passe que vous avez choisis.
Certificat côté client
Parcourez votre système de fichiers pour localiser le certificat côté client. Le mot de passe sert à vérifier que vous avez le droit de télécharger le certificat.