Description du flux de travaux
AppScan offre une évaluation détaillée de votre application Web. Il exécute des milliers de tests basés sur tous les niveaux de techniques utilisateur classiques ainsi que sur les accès non autorisés et les injections de code.
Lorsque vous exécutez un examen sur votre application, AppScan envoie les tests à votre application Web. Les résultats des tests sont fournis par le moteur intelligent de site d'AppScan. Ils sont présentés dans des rapports volumineux et proposent des recommandations de correctifs, disponibles pour la révision et la manipulation améliorées.
AppScan est un outil interactif : vous décidez de la configuration de l'examen et déterminez les mesures à prendre d'après les résultats.
Le flux de travaux AppScan comprend les étapes suivantes :
- Sélection d'un modèle : une configuration d'examen prédéfinie est un modèle d'examen. Vous pouvez charger le modèle d'examen standard, un autre modèle prédéfini ou un modèle que vous avez précédemment enregistré. (Vous pouvez ensuite ajuster la configuration selon les besoins de l'examen courant.)
- Examen d'une application ou d'un service Web : L'examen des services Web requiert un certain nombre d'entrées manuelles de l'utilisateur pour indiquer à AppScan comment utiliser le service.
- AppScan : si l'examen ne porte pas sur un service Web, ou si vous voulez analyser les parties d'une application autres que ses services Web, gardez cette option par défaut sélectionnée.
- Client/périphérique externe : sélectionnez cette option si vous voulez examiner un service. Vous configurez alors AppScan comme proxy d'enregistrement, et envoyez des demandes à partir de votre client externe via AppScan.
- Configuration des examens : configurez l'examen en tenant compte des caractéristiques de votre site, de votre environnement et des autres exigences.
- (Facultatif) Exploration manuelle : connectez-vous au site, cliquez sur les liens et remplissez les formulaires comme le ferait un utilisateur. C'est un bon moyen d'"indiquer" à AppScan comment un utilisateur standard peut naviguer sur le site, de garantir que les parties importantes du site soient examinées et de fournir des données pour remplir les formulaires.
- (Facultatif) Exécution de Scan Expert : permet d'effectuer un pré-examen rapide de votre site afin d'évaluer la configuration. Scan Expert peut suggérer des modifications afin d'augmenter l'efficacité de l'examen principal.
- Examen de l'application ou du service : il s'agit de l'examen principal, constitué des étapes d'exploration et de test.
Étape d'exploration : AppScan balaye votre site, visite les liens comme le ferait un utilisateur standard et enregistre les réponses. Il crée une hiérarchie des adresses URL, des répertoires, des fichiers, etc., trouvés dans votre application. Cette liste s'affiche dans l'Arborescence de l'application (voir Arborescence de l'application).
L'étape d'exploration peut être automatique, manuelle ou combiner les deux modes. Vous pouvez également importer un fichier des données d'exploration (voir Exporter des données d'exploration manuelle), qui consiste en une séquence d'exploration manuelle précédemment enregistrée. AppScan analyse ensuite les données qu'il a collectées sur le site et, en fonction de ces dernières, crée des tests pour le site. Ces tests sont conçus pour détecter les faiblesses de l'infrastructure (par exemple, les faiblesses de la sécurité pour les opérations commerciales, les produits tiers ou les systèmes Internet) et de l'application elle-même.
Etape de test : pendant l'étape de test, AppScan teste votre application, en fonction des réponses reçues lors de l'étape d'exploration, afin de détecter les faiblesses et évaluer leur degré de gravité.
Une liste actualisée de tous les tests inclus à votre version courante d'AppScan peut être visualisée dans la boîte de dialogue Configuration d'examens (voir Vue Stratégie de test).
Vous pouvez également créer des tests définis par l'utilisateur en plus des tests créés et exécutés automatiquement par AppScan (voir Tests définis par l'utilisateur). Vos tests peuvent compléter ceux générés par AppScan et vérifier les résultats trouvés par ce dernier.
Les résultats des tests sont affichés dans la Liste des résultats où vous pouvez les visualiser et les modifier. Les détails complets des résultats sont affichés dans le Panneau des détails.
- (Facultatif) Exécution d'un test de recherche de logiciels malveillants : lancez ce test pour analyser les pages et les liens trouvés sur votre site lors de la recherche de logiciels malveillants et d'autres contenus indésirables.Remarque : Bien qu'un Test de recherche de logiciels malveillants puisse, en principe, être effectué à ce stade (dans ce cas, les résultats de l'étape d'exploration de l'examen principal seront utilisés), il est généralement exécuté sur un site opérationnel alors qu'un examen standard s'exécute plutôt sur un site test (l'examen d'un site opérationnel risquant d'interrompre les opérations).
- Réviser les résultats : permet d'évaluer le statut de sécurité du site. Vous pouvez également :
- explorer manuellement des liens supplémentaires ;
- réviser des tâches de résolution ;
- imprimer des rapports ;
- ajuster la configuration des examens, si nécessaire, en fonction de l'étude des résultats et relancer les examens.