Téléchargement et déploiement d'un agent IAST Java sur le serveur Web
Vous devez télécharger et déployer un agent IAST sur le serveur Web de l'application testée pour surveiller le trafic envoyé pendant l'exécution et signaler les vulnérabilités découvertes.
Avant de commencer
- L'application testée doit être installée sur le serveur Web.
- Vous devez créer une application dans l'onglet Portefeuille de la vue Surveillance dans AppScan Enterprise. Pour plus d'informations sur la création d'une application dans AppScan Enterprise, voir Création d'une application.
Pourquoi et quand exécuter cette tâche
Procédure
- Connectez-vous au serveur AppScan Enterprise Server.
- Accédez à la page Surveillance > onglet Portefeuille pour consulter la liste d'applications disponibles.
-
Cliquez sur l'application dans laquelle vous souhaitez télécharger un agent IAST.
La page de l'application s'affiche. Pour plus d'informations sur la création d'une application, voir Création d'une application
-
Sur le panneau de gauche, cliquez sur les agents IAST.
La page des agents IAST s'affiche dans le panneau de droite.
-
Cliquez sur Créer un agent.
La page Mise en route avec IAST s'affiche.
-
Cliquez sur Créer un agent.
La page de création d'un agent IAST s'affiche.
-
Dans la liste déroulante Type d'agent, sélectionnez le langage avec lequel l'application de test a été développée.
Remarque : La fonction IAST prend en charge les applications basées sur Java, .NET et Node.js.
- Dans la zone Nom de l'agent, entrez un nom unique à donner à l'agent que vous créez pour l'application. Le nom de l'agent peut contenir des caractères alphanumériques et spéciaux d'une longueur maximale de 30 caractères.
- Cliquez sur Télécharger un agent. Le message Vérifiez votre dossier de téléchargement s'affiche et le fichier AppScanIASTAgent est téléchargé dans le dossier de téléchargement par défaut du système.
- Effectuez l'extraction du fichier AppScanIASTAgent dans un dossier.
-
Vous pouvez déployer l'agent IAST Java à l'aide de l'un des types de fichiers suivants :
Remarque : Pour un agent IAST Java, les fichiers JAR et WAR ont le même jeton de communication, de sorte que les deux agents communiqueront à la même session IAST. Cela s'avère utile dans les scénarios où certaines applications utilisent WAR et d'autres utilisent JAR.
-
Si les versions Java de compilation et d'exécution sont 9 ou ultérieures, ajoutez la propriété Java suivante à la commande d'exécution Java :
–Djava.lang.invoke.stringConcat=BC_SB
Résultats
Déploiement de l'agent IAST Java à l'aide d'un fichier WAR
Procédure
- Déployez le fichier Secagent.war sur le serveur Web de l'application testée.
-
Interagissez avec l'application testée (exécutez des tests fonctionnels, exécutez une analyse dynamique ou explorez l'application manuellement) afin que l'agent IAST surveille les demandes et signale les problèmes de sécurité.
Remarque : Un examen IAST n'envoie pas ses demandes. Il ne peut découvrir des problèmes que si les demandes sont envoyées vers l'application testée via des tests de système, des explorations manuelles, un examen DAST, etc.
-
Accédez à la vue de l'onglet de l'application et cliquez sur Tous les problèmes dans le panneau de gauche pour afficher la liste des problèmes liés aux vulnérabilités de sécurité détectées.
Remarque : Vous pouvez utiliser le filtre Méthode de découverte=IAST pour n'afficher que les problèmes IAST dans l'application.
Déploiement de l'agent IAST Java à l'aide d'un fichier JAR
Procédure
- Dans le dossier jar_deployment , localisez le fichier Secagent.jar
- Copiez le fichier Secagent.jar dans le répertoire racine de l'application.
-
Ajoutez l'indicateur suivant à la ligne de commande de votre application :
-Djavaagent :<chemin vers secagent.jar>Exemple :Pour un site Web d'achat :
java -javaagent:secagent.jar -jar ./shopping/target/shopping-0.9.0-SNAPSHOT.jar