Examen des environnements de production opérationnels
Les risques et les suggestions ci-dessous doivent être pris en compte avant l'examen d'un site opérationnel à l'aide d'AppScan.
Lorsque vous examinez un site opérationnel, vous pouvez utiliser le modèle de site de production prédéfini. Ce modèle contient une stratégie de test de site de production sélectionnée ainsi que des paramètres de configuration conçus pour minimiser le risque de dégradation d'un site opérationnel ou de refus de service aux utilisateurs réels.
Si vous choisissez d'utiliser votre propre configuration ou stratégie de test, les sections suivantes vous permettent de configurer votre examen de façon efficace.
Il se peut que la base de données soit remplie d'informations inutiles envoyées pendant l'examen.
Pour limiter l'impact produit, prenez les précautions suivantes :
- Désactivez la fonction de remplissage automatique des formulaires (Configuration des examens > Remplissage automatique des formulaires > première case à cocher).
Ceci empêche AppScan® de remplir les formulaires automatiquement en soumettant des données pouvant saturer une base de données, un tableau d'affichage ou un forum en ligne, ou en envoyant des courriers électroniques indésirables à un compte d'administrateur ou de modérateur. Sachez cependant que ceci neutralise la capacité d’AppScan Standard à atteindre des zones du site accessibles via une soumission de formulaires. Dans ce mode de fonctionnement, AppScan examine uniquement les zones du site accessibles en suivant des liens (avec ou sans paramètres).
- Créez un compte de test qui sera utilisé par AppScan.
L'utilisation d'un compte de test facilite le suivi des modifications de la base de données (par exemple, pour s'assurer que des services ne sont pas commandés), ainsi que le nettoyage du site par les administrateurs une fois l'examen terminé.
Lorsque vous créez le compte, il est recommandé de :- Limiter l'accès à la base de données pour les enregistrements de test afin de permettre la restauration des enregistrements modifiés.
- Vérifier que les nouveaux enregistrements créés par le compte de test seront supprimés.
- Vérifier que les bons de commande (ou autres transactions) issus du compte de test seront ignorés.
- Donner l'accès au compte pour les enregistrements de test uniquement si les transactions ont un impact (par exemple, s'il s'agit d'actions).
- Donner l'accès au compte de test uniquement pour tester les forums, si le site comporte des forums, afin que les clients réels ne voient pas les tests créés pendant l'étape de test.
- Définir plusieurs comptes de test avec des privilèges différents, si le site possède plusieurs comptes ayant des privilèges différents. Ceci garantit un examen plus exhaustif du site.
- Ne pas créer de compte de test avec un accès de niveau administrateur.
Risque de saturation de la messagerie électronique
Lorsqu'il teste des pages utilisant la notification par courrier électronique, AppScan génère un grand nombre de requêtes, ce qui peut surcharger le serveur de messagerie du site.
Voici quelques suggestions pour éviter cela :
- Modifiez temporairement les adresses électroniques pour les pages testées afin d'envoyer les courriers électroniques vers des adresses non valides.
- Si possible, configurez AppScan de manière à exclure ces pages de l'examen de l'environnement de production.
- Examinez un seul serveur Web à la fois et empêchez-le de se connecter au serveur SMTP pendant l'examen.
- Si vous décidez de garder la fonction de remplissage automatique de formulaires active, configurez-la de façon à insérer une valeur unique dans la zone de courrier électronique afin que les destinataires puissent identifier aisément les courriers générés par AppScan.
Examen via un proxy
Lorsque cela est possible, évitez d'effectuer un examen via un proxy. Bien que ce mode d'examen soit pris en charge, le recours à un proxy risque de nuire à la clarté des résultats.
Risque de verrouillage de l'examen pour l'application
Certaines applications sont configurées pour verrouiller les utilisateurs après un certain nombre de tentatives de connexion avortées. Si ceci se produit lors de l'examen, AppScan ne pourra manifestement pas mener celui-ci à terme.
Pour éviter cela :
- Désactivez Envoyer les tests sur les pages de connexion et de déconnexion (Configuration des examens > Options de test).
Risque d'échec d'une application
Pour éviter qu’AppScan n'entraîne l'échec de votre application en ligne, vous pouvez désactiver les tests invasifs dans la stratégie de test. Les tests de refus de service, de dépassement de la mémoire tampon et les autres tests risquant de causer l'échec de l'application ou du serveur Web ne sont pas envoyés.
Pour désactiver les tests invasifs dans la stratégie de test :
- Sélectionnez Configuration > Stratégie de test.
- Cliquez sur la colonne Invasif afin de regrouper tous les tests invasifs.
- Faites défiler la liste des tests invasifs (ceux pour lesquels "Oui" est défini pour la valeur Invasif) et désélectionnez tous les tests sélectionnés afin de les exclure de l'examen.