Onglet Principal
Configuration des examens > Options d'exploration > Onglet Principal.
- Méthode d'exploration
- AppScan utilise deux méthodes distinctes pour l'étape d'exploration de l'analyse. Vous pouvez sélectionner l'une des deux, ou les deux. Des deux méthodes disponibles, l'exploration basée sur les demandes est généralement plus rapide que l'exploration basée sur les actions. Lorsque ces deux méthodes sont sélectionnées (valeur par défaut recommandée), l'exploration basée sur les actions s'exécute en premier avec un délai maximal de 30 minutes, suivie de l'exploration basée sur les demandes.
- Filtrage en fonction de la structure de page (DOM)
- Cette option permet de réduire considérablement la durée de l'examen en identifiant les pages qui présentent un niveau de similarité suffisant avec les pages déjà explorées, ce qui permet à AppScan de les ignorer en toute sécurité.
- Limites de l'examen
- Cette option permet de déterminer la profondeur (ou la vitesse) à laquelle AppScan explore votre application.
- Autres paramètres
- Cette option permet de configurer le client pour reconnaître un codage de serveur spécifique et envoyer un en-tête d'agent d'utilisateur spécifique.
Paramètre |
Détails |
---|---|
Méthode d'exploration |
|
Basée sur les actions |
Une version du navigateur Google Chrome est utilisée pour examiner le site comme le ferait un utilisateur en cliquant sur les liens visibles dans le navigateur. Cette méthode est particulièrement efficace lorsque de nouvelles technologies, comme JavaScript et le stockage de session, et des sites de type RIA, SPA (Single-Page Application) ou AngularJS sont utilisés. |
Basée sur les demandes |
Les demandes sont envoyées en fonction de l'ensemble du contenu des pages reconnu par AppScan. Cette procédure inclut le contenu qui n'est pas visible pour les utilisateurs d'un navigateur mais qu'un pirate pourrait détecter, comme des liens dans des commentaires. |
Filtrage sur la structure de page (DOM) |
|
Filtrer les pages identiques en fonction de leur structure (DOM) |
AppScan® compare les nouvelles pages aux pages déjà explorées à la recherche d'une similitude structurelle (DOM) pour indiquer qu'elles ne contiennent pas de nouveaux liens ou de nouveaux contenus nécessitant des tests supplémentaires. Par exemple, sur un site commercial, il peut y avoir un catalogue composé de différentes pages individuelles pour un millier de produits différents, identiques dans tous les autres aspects. Il est généralement inutile d'examiner toutes ces pages. Le filtrage basé sur la similitude DOM peut réduire considérablement la durée de l'examen. Par défaut, les deux options sont sélectionnées. Après l'examen, vous devez contrôler l'onglet Filtré des résultats de l'examen afin de vérifier si certaines demandes n'ont pas été exclues de l'examen par erreur. Si c'est le cas, essayez d'utiliser l'option "Filtrer moins de pages", qui maintient un niveau inférieur constant de filtrage, ou désactivez en même temps l'option Filtrage en fonction de la structure de page (DOM). L'onglet Filtré des résultats contient trois types d'éléments filtrés :
|
Filtrer les pages susceptibles d'être identiques en fonction de leur structure (DOM) |
Ce paramètre filtre les pages avec un "DOM probablement identique" lors de l'examen (voir description ci-dessus). Si des demandes uniques sont filtrées par erreur en dehors de l'examen, vous devez désactiver cette option. |
Limites de l'examen |
|
Limite pour les chemins d'accès redondants |
AppScan n'accède pas au même chemin plus que le nombre de fois indiqué. Un chemin particulier peut être visité plusieurs fois s'il apparaît avec différents paramètres. Cette limite est principalement utile pour les scripts. Cette option est désélectionnée par défaut, car dans la plupart des cas, la sélection de la case à cocher ci-dessus, Filtrage en fonction de la structure de page (DOM), permet de contrôler la durée de l'examen de façon satisfaisante. |
Limite de profondeur de clic |
AppScan n'examine pas les pages qui sont accessibles en cliquant sur un nombre de liens supérieur à la valeur indiquée. |
Limite du total de pages |
Si cette option est sélectionnée, AppScan n'accède pas à plus de pages que ce nombre maximal défini. Remarquez que chaque page peut contenir de nombreuses URL. |
Autres paramètres |
|
Codage |
En général, AppScan détecte automatiquement la méthode de codage de l'application ; par conséquent, la fonction de détection automatique est sélectionnée par défaut. Si le contenu des réponses figurant dans les résultats de l'examen semble erroné, cela peut signifier que la méthode de codage n'a pas été correctement identifiée. Pour résoudre ce problème, sélectionnez la méthode de codage appropriée dans la liste déroulante. |
Agent d'utilisateur |
L'en-tête agent d'utilisateur dans une requête HTTP indique au serveur quel type de client envoie la requête, ce qui peut affecter le contenu renvoyé par le serveur. Par exemple, certains contenus spécifiques aux téléphones mobiles ne sont envoyés que lorsque l'agent d'utilisateur est un navigateur de téléphone mobile. Pour qu'AppScan puisse tester ce type de contenu, vous devez le configurer pour qu'il envoie l'en-tête agent d'utilisateur approprié. En général, AppScan détecte automatiquement l'agent d'utilisateur ; par conséquent, la fonction de détection automatique est sélectionnée par défaut. Cependant, si vous utilisez un navigateur différent du navigateur intégré, et si vous n'enregistrez pas de procédure de connexion, d'opération en plusieurs étapes ou d'exploration manuelle, AppScan ne peut pas détecter l'agent d'utilisateur automatiquement, et vous devez le sélectionner manuellement. Pour modifier l'agent d'utilisateur, sélectionnez un agent dans la liste déroulante. Pour entrer du contenu personnalisé, cliquez sur le bouton Editer et saisissez le contenu. A la fermeture de la boîte de dialogue, le nom du bouton devient Agent d'utilisateur personnalisé. Remarque : si vous modifiez le navigateur par défaut, consultez les conditions décrites à la rubrique Modification du navigateur par défaut. |