Fonctionnement d'un examen de sécurité pour les portails WebSphere®
Pour accéder à un site, un moteur de balayage Web doit être capable d'identifier des adresses URL particulières en tant que pages uniques. Les adresses URL WebSphere® Portal représentent un cas particulier pour le balayage automatique, car elles contiennent des informations d'état sur la navigation qui sont chiffrées à l'aide d'informations côté serveur.
La difficulté vient du fait que le même état de navigation ne génère pas la même adresse URL. En raison de la nature codée et dynamique des adresses URL WebSphere® Portal, le processus classique d'identification d'adresses URL d'un moteur de balayage Web ne fonctionne pas et risque de provoquer un scénario d'examen sans fin. Pour la même raison, la détection d'un lien de déconnexion au cours de l'étape d'exploration n'est pas possible, ce qui peut avoir pour conséquence un examen hors session.
Le mode d'affichage des données d'examen, comme le nom des pages explorées par le moteur de balayage Web dans les rapports, est également problématique lors de l'examen de sites WebSphere® Portal. Dans le cas des sites Web classiques, les moteurs de balayage Web utilisent souvent les adresses URL comme noms de page car elles identifient celles-ci de manière unique dans un format compréhensible par l'utilisateur. Les adresses URL WebSphere® Portal étant codées, il est difficile d'identifier une page de cette manière.
L'examen utilise les services REST fournis par WebSphere® Portal pour décoder l'état de navigation et utilise ce dernier pour identifier les adresses URL visitées. Il envoie l'adresse URL WebSphere® Portal codée à un service Web de décodage qui renvoie l'état de navigation décodé.