Paramètres

Il s'agit de demandes comprenant un ou plusieurs paramètres.

La liste Liste des résultats affiche tous les paramètres trouvés lors de l'étape d'exploration. Les URL de cette liste sont celles qui sont considérées comme les plus vulnérables à des attaques malveillantes. Cette liste peut s'avérer cruciale pour évaluer si l'examen a généré un ensemble de demandes de test utile.

Pour chaque paramètre de la liste Paramètres de script, AppScan affiche un nom, un type, une valeur, une URL (sous-fenêtre Résultats) et une valeur (sous-fenêtre Détail), et indique si le paramètre fait l'objet d'un suivi. Un nom de paramètre peut être répertorié plusieurs fois s'il a une URL différente ou s'il a des valeurs différentes sur la même URL.

Le tableau ci-dessous présente les options disponibles lorsque vous cliquez avec le bouton droit de la souris sur un élément de la liste.

Tableau 1. Options accessibles par clic droit

Option

Fonction

Copier l'URL

Copie de l'URL sélectionnée dans le presse-papiers.

Ajouter à la liste de l'onglet Paramètres et cookies

Ajout du nom du paramètre sélectionné (toutes valeurs) dans la liste de la boîte de dialogue Configuration, par clic droit et sélection de la liste d'ajout aux paramètres et aux cookies. La boîte de dialogue Définition de paramètre s'ouvre. Vous pouvez alors configurer le traitement par AppScan de ce paramètre.

Exclure cette combinaison chemin-paramètre-valeur de l'examen

Exclusion d'une valeur de paramètre spécifique de l'examen en cas de présence dans une adresse URL. Lorsque vous sélectionnez cette option, la boîte de dialogue Editer l'exclusion ou l'exception s'ouvre ; elle contient les données correspondantes.

Exemple

Prenons l'exemple d'un site dont l'URL est la suivante : http://site/command et un paramètre nommé 'action'. Chaque valeur déclenche une réponse différente du serveur :
  • action=login, redirige vers la page de connexion
  • action=logout, la session est arrivée à expiration
  • action=clean, supprime les données utilisateur du serveur

Pour qu'AppScan puisse examiner ce site, il doit exclure http://site/command lorsque action=logout ou clean, mais pas action=login ou toute autre valeur. Pour ce faire, vous pouvez utiliser cette fonction pour exclure http://site/command avec le nom de paramètre action et la valeur logout ou clean.

Pour plus de détails, voir Ajouter de nouvelles exclusions ou exceptions

Ne pas tester le ou les paramètres sélectionnés

Exclusion d'un ou plusieurs noms de paramètre (toutes valeurs) de l'étape de test de l'examen. Ce paramètre s'applique à toutes les valeurs du paramètre spécifié. Il ne concerne pas l'étape d'exploration.

Le nom de paramètre est ajouté à la liste dans la vue Paramètres et cookies de la boîte de dialogue Configuration, avec la valeur Exclusion de test définie à "Yes".

Pour plus de détails, voir Vue Paramètres et cookies