Configuration d'un examen de sécurité à l'aide des propriétés d'analyse d'AppScan Enterprise
Les examens de sécurité doivent être exécutés dans un environnement de préproduction, tel qu'un serveur de transfert ou d'assurance qualité. Cette approche permet de limiter les risques associés à l'exécution d'examens de sécurité. Votre environnement de préproduction doit refléter l'environnement de production autant qu'il est possible ; l'application doit avoir les mêmes fichiers exécutables dans les deux environnements de façon à pouvoir tester l'application de façon approfondie. Les examens de sécurité doivent également être intégrés à votre processus SDLC (Software Development Life cycle) de façon à pouvoir isoler les problèmes de sécurité avant qu'ils n'atteignent votre environnement de production.
Avant de commencer
- Vérifiez que l'application se trouve dans un environnement de développement ou de test.
- Etablissez une fenêtre de temps avec les propriétaires de l'application (développeurs ou assurance qualité) pour l'examen de l'application. Cette dernière doit être active, en cours d'exécution et stable pendant la période d'examen avec AppScan® Enterprise Server. Aucune modification ne doit normalement être apportée à l'application au cours de l'examen.
- Décidez tout de suite si vous voulez effectuer une exploration manuelle ou un balayage automatique :
- Une exploration manuelle signifie que vous indiquez les adresses URL exactes pour l'examen à tester dans la configuration (l'examen n'effectuera pas d'exploration automatique pour détecter de nouvelles adresses URL). Utilisez cette méthode pour les applications Web qui requiert une interaction utilisateur importante pour accéder à l'application ou pour tester une zone spécifique de votre application.
- Un balayage automatique signifie que vous configurez l'examen pour qu'il détecte automatiquement davantage d'adresses URL à tester dans votre application Web. Utilisez cette méthode pour une application comportant un grand nombre de liens statiques et ne requérant pas une interaction utilisateur intensive.
Procédure
- Dans la page Objet de l'examen, entrez l'URL de départ de l'application et cliquez sur Ajouter. Notez la colonne "Etat" lorsque vous ajoutez l'URL de départ. Si une coche verte apparaît, cela signifie qu'AppScan® Enterprise Server peut accéder à l'application Web. Si un avertissement apparaît, cela peut indiquer qu'il est nécessaire d'entrer les paramètres de proxy ou des données d'authentification supplémentaires pour qu'AppScan® Enterprise Server puisse accéder à l'application Web. Cliquez sur Retester.
- Si l'application Web doit spécifier des paramètres de proxy ou des données d'authentification supplémentaires, accédez à la page Connexions dans les propriétés du travail, sélectionnez et entrez les paramètres du proxy.
- Si l'application Web requiert une Authentification de la plateforme supplémentaire, sélectionnez Examiner les pages qui requièrent une authentification dans la section Authentification de la plateforme et entrez le nom d'utilisateur et le mot de passe ou sélectionnez plutôt l'option de compte de service.
-
Si votre application Web contient une connexion HTML, accédez à la page Gestion de connexion pour enregistrer la connexion. Cliquez sur
.
-
Si vous avez identifié des noms de cookie de session manqués par AppScan® Enterprise, vous devez configurer les noms de cookie de session dans l'examen. Vous pouvez ajouter un cookie manqué par AppScan® Enterprise de deux manières. Accédez à la page des paramètres et des cookies :
- Sélectionnez les cookies ou les paramètres à suivre et cliquez sur le bouton "Suivre" dans la page de modifications des paramètres et des cookies.
- Cliquez sur Ajouter (icône ). Pour Type, sélectionnez "Cookie". Vous pouvez entrer un nom complet ou une expression régulière comme nom. Sélectionnez ID session : Suivre ce paramètre lors de l'examen. AppScan® Enterprise Server assure le suivi de ce cookie de session et, le cas échéant, met à jour la valeur au cours de l'examen. Cliquez sur Terminé .
-
Si des formulaires supplémentaires doivent être remplis pour configurer l'examen, accédez à la page Objet de l'examen. Dans la section Exploration manuelle, cliquez sur Ajouter un élément existant () pour lancer l'exploration manuelle. Cette dernière permet également de sélectionner manuellement les adresses URL si vous voulez restreindre l'examen à une exploration manuelle. L'application Web est lancée dans une fenêtre de navigateur séparée. Simulez la navigation manuelle ou le remplissage de formulaire dans cette fenêtre. Fermez ensuite cette dernière et sauvegardez les résultats de formulaire.
Remarque : L'exploration manuelle permet d'effectuer les opérations suivantes :
- Enregistrer toute fonctionnalité supplémentaire non mise en œuvre par le moteur de balayage automatique d'AppScan® Enterprise Server, comme le remplissage de formulaire ou l'interaction utilisateur
- Restreindre l'examen aux seules adresses URL et fonctionnalité que vous avez enregistrées et ne pas effectuer de balayage automatique dans AppScan® Enterprise Server
-
Dans la page Objet de l'examen, faites défiler l'écran jusqu'à la liste Serveurs et domaines supplémentaires. Consultez cette liste et si celle-ci contient des domaines ne devant pas être explorés par le moteur de balayage automatique au cours de l'examen, supprimez-les.
Remarque : Si des domaines ne sont pas inclus dans le groupe de serveurs associé à votre stratégie de test, ces domaines ne sont pas testés. Cliquez sur Afficher les détails de la stratégie de test dans la page Sécurité pour voir les groupes de serveurs et les adresses URL ou les adresses IP qui sont applicables à la stratégie de test choisie. Il n'y est pas précisé que les adresses URL non autorisées ne sont pas testées mais ces domaines ne comportent pas de résultats dans les rapports basés sur ce travail. Vérifiez que les adresses URL de départ sont incluses dans les groupes de serveurs associés à la stratégie de tests que vous avez choisie.
- Sur la page Quoi analyser, sous la section Détection de composant tiers vulnérables DAST , la case Signaler les vulnérabilités dans les composants identifiés est cochée par défaut, ce qui permet à AppScan de signaler les vulnérabilités dans les composants tiers identifiés par AppScan.
-
Dans la page de sécurité, entrez les options de test de sécurité :
- Laissez la case à cocher Analyseur JavaScript sélectionnée si vous souhaitez effectuer une analyse JavaScript™ statique pour détecter une série de problèmes côté client, principalement le scriptage intersite basé sur DOM. Voir Fonctionnement de l'analyse du code source JavaScript.
- Si vous examinez une application Web qui verrouille un utilisateur après l'échec de plusieurs tentatives de connexion, désélectionnez la case Inclure les tests des pages de connexion et de déconnexion. Cela permet d'éviter le verrouillage d'AppScan® Enterprise Server au cours de l'examen.
- Sélectionnez une stratégie de test de la sécurité.Remarque : Vous ne pouvez choisir que les tests basés sur la ou les stratégies de test qui vous ont été attribuées par l'administrateur du produit. Si vous n'avez pas créé ce travail, il ne peut exécuter que les tests qui sont associés à l'administrateur de travaux qui l'a créé. Vous pouvez cependant modifier les stratégies de test à votre disposition et les tests réalisables en assumant la propriété de ce travail.
-
Accédez à la page Options d'exploration :
- Pour que l'examen s'effectue de manière automatique et détecte des adresses URL supplémentaires, sélectionnez Ne pas limiter le nombre de pages.
- Pour que l'examen explore et teste uniquement votre connexion enregistrée et votre exploration manuelle, sélectionnez Nombre maximal d'adresses URL spécifiées.
- Si vous effectuez un balayage automatique et que votre application Web utilise JavaScript™ pour générer dynamiquement des adresses URL, sélectionnez Exécuter le code JavaScript pour reconnaître les adresses URL et le contenu dynamique.
- Pour sauvegarder vos options et quitter les propriétés du travail, cliquez sur Sauvegarder.