Téléchargement et déploiement d'un agent IAST Java sur un serveur Web

Vous devez télécharger et déployer un agent IAST sur le serveur Web de l'application testée pour surveiller le trafic envoyé pendant l'exécution et signaler les vulnérabilités découvertes.

Avant de commencer

  • L'application testée doit être installée sur le serveur Web.
  • Vous devez créer une application dans l'onglet Portefeuille de la vue Surveillance dans AppScan Enterprise. Pour plus d'informations sur la création d'une application dans AppScan Enterprise, voir Création d'une application.

Pourquoi et quand exécuter cette tâche

Cette section vous aide à télécharger et à déployer l'agent IAST Java sur le serveur Web de l'application testée.

Procédure

  1. Connectez-vous au serveur AppScan Enterprise Server.
  2. Accédez à la page Surveillance > onglet Portefeuille pour consulter la liste d'applications disponibles.
  3. Cliquez sur l'application dans laquelle vous souhaitez télécharger un agent IAST.
    La page de l'application s'affiche. Pour plus d'informations sur la création d'une application, voir Création d'une application
  4. Sur le panneau de gauche, cliquez sur les agents IAST.
    La page des agents IAST s'affiche dans le panneau de droite.
  5. Cliquez sur Créer un agent.
    La page Mise en route avec IAST s'affiche.
  6. Cliquez sur Créer un agent.
    La page de création d'un agent IAST s'affiche.
  7. Dans la liste déroulante Type d'agent, sélectionnez le langage avec lequel l'application de test a été développée.
    Remarque : La fonction IAST prend en charge les applications basées sur Java, .NET et Node.js.
  8. Dans la zone Nom de l'agent, entrez un nom unique à donner à l'agent que vous créez pour l'application. Le nom de l'agent peut contenir des caractères alphanumériques et spéciaux d'une longueur maximale de 30 caractères.
  9. Cliquez sur Télécharger un agent. Le message Vérifiez votre dossier de téléchargement s’affiche et le fichier AppScanIASTAgent est téléchargé dans le dossier de téléchargement par défaut du système.
  10. Effectuez l'extraction du fichier AppScanIASTAgent dans un dossier.
  11. Déployez le fichier Secagent.war sur le serveur Web de l'application testée.
  12. Interagissez avec l'application testée (exécutez des tests fonctionnels, exécutez une analyse dynamique ou explorez l'application manuellement) afin que l'agent IAST surveille les demandes et signale les problèmes de sécurité.
    Remarque : Un examen IAST n'envoie pas ses propres demandes. Il ne peut découvrir des problèmes que si les demandes sont envoyées vers l'application testée via des tests de système, des explorations manuelles, un examen DAST, etc.
  13. Accédez à la vue de l'onglet de l'application et cliquez sur Tous les problèmes dans le panneau de gauche pour afficher la liste des problèmes liés aux vulnérabilités de sécurité détectées.
    Remarque : Vous pouvez utiliser le filtre Méthode de découverte=IAST pour n'afficher que les problèmes IAST dans l'application.

Résultats

L'agent IAST est déployé sur le serveur Web de l'application testée. Vous pouvez désormais afficher tous les problèmes détectés par les agents IAST dans la page de surveillance de l'application.