Stratégies de test de sécurité

Une stratégie de test de sécurité est un ensemble de tests de sécurité prédéfini. Un groupe de serveurs et une stratégie de test doivent être affectés aux utilisateurs avant que ces derniers ne puissent effectuer des examens de sécurité.

Les administrateurs n'ont pas besoin de recevoir l'accès explicite à une stratégie de test ou d'être affectés à un groupe de serveurs. Deux types de stratégie de test sont disponibles :
Standard exclusion :
Toutes les politiques de test prédéfinies, y compris la politique de test Complète, excluent par défaut les tests suivants :

  • Tests obsolètes (tels que d'anciens CVE ou des tests tiers obsolètes)

  • Tests perturbateurs qui pourraient ralentir les performances d'AppScan (tels que les tests d'écoute de port)

  • Une Politique de test de sécurité simple définit des tests à un niveau élevé. Vous pouvez créer et modifier des politiques de test simples dans AppScan ®Enterprise Server et les attribuer à des groupes de serveurs.
  • Une Politique de test de sécurité avancée définit des tests à un niveau plus granulaire. Vous pouvez importer des politiques de test avancées à partir d'AppScan® 7.7 (ou supérieur) et les attribuer à des groupes de serveurs, mais vous ne pouvez pas modifier leurs propriétés :
    • Application uniquement : Inclut tous les tests au niveau de l'application sauf les tests invasifs.
    • Complète: Inclut tous les tests.
    • Défaut: Inclut tous les tests sauf les tests invasifs (tests affectant la stabilité du serveur).
    • Essentiels pour les développeurs (Obsolète) : Inclut une sélection de tests d'application ayant une forte probabilité de succès. Cela peut être utile pour évaluer un site lorsque le temps est limité.
    • Infrastructure uniquement : Inclut tous les tests au niveau de l'infrastructure sauf les tests invasifs.
    • Invasif: Inclut tous les tests invasifs (tests qui pourraient affecter la stabilité du serveur).
    • OWASP Top 10 - 2021 : Inclut tous les tests pour les dernières catégories de vulnérabilités du top 10 cartographiées par OWASP.
    • OWASP Top 10 API Risques de sécurité - 2023 : Inclut tous les tests pour les dernières catégories de vulnérabilités API du top 10 cartographiées par OWASP.
    • Site de production : Exclut les tests invasifs qui pourraient endommager le site, ou les tests qui pourraient entraîner un déni de service pour d'autres utilisateurs.
    • Les Quelques Essentiels (Déprécié) : Inclut une sélection de tests qui ont une forte probabilité de succès. Cela peut être utile pour évaluer un site lorsque le temps est limité.
    • Tiers uniquement : Inclut tous les tests de niveau tiers sauf les tests invasifs.
    • Services Web (Obsolètes) : Inclut tous les tests liés au SOAP, à l'exception des tests invasifs.

Alternatives aux politiques de test dépréciées

Quelles politiques de test peuvent remplacer Tiers uniquement et les politiques de test Essentiels pour développeurs ?
  • Le tableau suivant fournit des alternatives suggérées pour les politiques dépréciées :
    Politique ActuelleAlternatives Suggérées
    Services Web Utilisez la stratégie par défaut qui inclut désormais les services Web.
    Les Quelques Essentiels

    Utilisez la politique par Défaut avec le paramètre d'Optimisation de test le plus rapide.

    Essentiels pour développeurs

    Utilisez la politique Application uniquement avec l'un des paramètres d'Optimisation de test plus rapides.