Technologies prises en charge

Certaines technologies utilisées par votre site peuvent affecter AppScanla capacité de à le scanner, tandis que d'autres n'affectent pas du tout le processus de scan.

  • AppScanest un outil de type "Black-Box" (DAST), et analyse votre site en utilisant les mêmes mécanismes qu'un navigateur. Ainsi, les technologies côté serveur qui sont transparentes pour un navigateur sont généralement transparentes pour AppScan, et n'affectent pas l'examen.
  • Les technologies côté client comme JavaScript et le protocole HTTP n'affectent pas AppScan. Pour un balayageAppScan réussi, utilise un navigateur réel, intégré dans le produit, pour traiter les pages web tout comme un navigateur commercial disponible. Cela garantit la prise en charge de toutes les technologies courantes. Parfois, une configuration supplémentaire peut être nécessaire pour aiderAppScan à comprendre le contexte d'un élément, afin d'assurer un traitement approprié au-delà de la simple navigation, généralement spécifiquement pour l'étape de test de l'analyse.
  • L'enregistrement de la connexion WebSocket et la lecture de la connexion sont pris en charge.

UneAppScan analyse se compose de deux étapes principales : Explorer et Tester. Pour chaque étape, le tableau suivant offre des lignes directrices pour comprendre quelles technologies côté serveur et côté client pourraient affecter l'analyse, et dans quels cas une configuration est nécessaire.

Tableau 1. Technologies prises en charge
Technologies côté serveur Technologies côté client
Etape d'exploration

Les technologies côté serveur qui n'ont pas d'incidence sur le client, telles que la base de données spécifique utilisée, n'ont aucun effet sur l'examen.

De nombreux mécanismes qui affectent le client (comme la gestion de session) ne limitent pas l'examen si AppScan est correctement configuré. Par exemple, les serveurs Web et les serveurs d'applications ont une incidence sur la gestion des ID, auquel cas AppScan doit être configuré pour pouvoir en effectuer le suivi. De nombreux ID de session courants sont prédéfinis ou peuvent être automatiquement détectés par AppScan et ne nécessitent pas de configuration supplémentaire. Cependant, une configuration supplémentaire pourrait encore être nécessaire pour certains mécanismes sur mesure.

AppScan prend particulièrement en charge les URL personnalisées de WebSphere Portal. WebSphere Portal code les URL de manière à rendre leur suivi difficile lorsqu'elles s'affichent. AppScan décode les URL de sorte qu'elles peuvent être reconnues et optimisées.

AppScan utilise un navigateur entièrement intégré et toutes les principales technologies sont automatiquement prises en charge (HTML5), notamment de nombreuses infrastructures JavaScript telles que Angular, React et JQuery.

Si des pages sont omises lors de l'étape d'exploration automatique suite à une technologie spécifique ou une implémentation qui bloque l'exploration automatique, elles peuvent être ajoutées à l'examen par l'exploration manuelle du site après la phase d'exploration automatique, et avant l'étape de test.
Etape de test AppScan est conçu pour tester l'application mais pas les technologies de prise en charge associées : celles-ci n'ont donc pas d'incidence sur le test. Pour reconsidérer les bases de données : AppScanla suite de tests d'injection SQL de est indépendante de la base de données utilisée. Elle fournit également des tests spécifiques pour le contrôle tierce partie (celui des vulnérabilités courantes, par exemple). Les vulnérabilités de JavaScript côté client sont testées à l'aide du navigateur intégré. Les tests sont également effectués à l'aide d'une approche boîte noire (DAST). L'environnement du navigateur est manipulé et JavaScript est exécuté en l'état pour mettre à jour les vulnérabilités. Toutes les méthodologies d'exécution prises en charge par les navigateurs modernes sont prises en charge par AppScan.