Technologies prises en charge
Certaines technologies utilisées par votre site peuvent avoir une incidence sur la capacité d'examen d'AppScan, tandis que d'autres n'en ont aucune.
- AppScan est un outil qui fonctionne comme une « boîte noire » (DAST) ; il examine votre site en utilisant les mêmes mécanismes qu'un navigateur. Ainsi, les technologies côté serveur qui sont transparentes pour un navigateur sont généralement transparentes pour AppScan, et n'affectent pas l'examen.
- Les technologies côté client comme JavaScript et le protocole HTTP n'affectent pas AppScan. Pour garantir la réussite de l'examen, AppScan utilise un véritable navigateur, intégré dans le produit, pour traiter les pages Web, comme le ferait un navigateur disponible dans le commerce. Cela garantit la prise en charge de toutes les technologies courantes. Une configuration supplémentaire peut parfois être nécessaire pour aider AppScan à comprendre le contexte d'un élément, pour un traitement adéquat au-delà d'une simple navigation, spécifiquement pour la Phase de test de l'examen en règle générale.
- L'enregistrement de connexion et la lecture de connexion WebSocket sont pris en charge.
Un examen AppScan consiste en deux étapes : l'exploration et le test. Pour chaque étape, le tableau propose des instructions permettant de déterminer les technologies côté serveur et côté client qui affectent l'examen, et dans quels cas il est nécessaire de procéder à une configuration.
Technologies côté serveur | Technologies côté client | |
---|---|---|
Etape d'exploration |
Les technologies côté serveur qui n'ont pas d'incidence sur le client, telles que la base de données spécifique utilisée, n'ont aucun effet sur l'examen. De nombreux mécanismes qui affectent le client (comme la gestion de session) ne limitent pas l'examen si AppScan est correctement configuré. Par exemple, les serveurs Web et les serveurs d'applications ont une incidence sur la gestion des ID, auquel cas AppScan doit être configuré pour pouvoir en effectuer le suivi. De nombreux ID de session courants sont prédéfinis ou peuvent être automatiquement détectés par AppScan et ne nécessitent pas de configuration supplémentaire. Une configuration supplémentaire peut toutefois s'avérer nécessaire pour certains mécanismes personnalisés. AppScan prend particulièrement en charge les URL personnalisées de WebSphere Portal. WebSphere Portal code les URL de manière à rendre leur suivi difficile lorsqu'elles s'affichent. AppScan décode les URL de sorte qu'elles peuvent être reconnues et optimisées. |
AppScan utilise un navigateur entièrement intégré et toutes les principales technologies sont automatiquement prises en charge (HTML5), notamment de nombreuses infrastructures JavaScript telles que Angular, React et JQuery. Si des pages sont omises lors de l'étape d'exploration automatique suite à une technologie spécifique ou une implémentation qui bloque l'exploration automatique, elles peuvent être ajoutées à l'examen par l'exploration manuelle du site après la phase d'exploration automatique, et avant l'étape de test. |
Etape de test | AppScan est conçu pour tester l'application mais pas les technologies de prise en charge associées : celles-ci n'ont donc pas d'incidence sur le test. Au niveau des bases de données, la suite d'AppScan fournit des tests d'injection SQL qui sont indépendants de la base de données utilisée. Elle fournit également des tests spécifiques pour le contrôle tierce partie (celui des vulnérabilités courantes, par exemple). | Les vulnérabilités de JavaScript côté client sont testées à l'aide du navigateur intégré. Les tests sont également effectués à l'aide d'une approche boîte noire (DAST). L'environnement du navigateur est manipulé et JavaScript est exécuté en l'état pour mettre à jour les vulnérabilités. Toutes les méthodologies d'exécution prises en charge par les navigateurs modernes sont prises en charge par AppScan. |