Onglet Enregistrement du proxy

Cet onglet permet de configurer AppScan de sorte qu'il agisse en tant que proxy pour les navigateurs externes ou qu'il explore manuellement des services Web non SOAP en utilisant un périphérique distant (comme un téléphone mobile) ou une application locale (comme un simulateur ou un émulateur).

Option

Description

Port proxy

Indique le port utilisé par AppScan. Lorsque vous utilisez AppScan comme serveur proxy, configurez le navigateur externe ou le périphérique mobile de sorte qu'il utilise ce port.

Utilisez cette case à cocher pour indiquer si AppScan sélectionne un port disponible automatiquement ou vous laisse le choisir. Le port peut changer d'une session à l'autre s'il est choisi automatiquement, ce qui vous obligera à reconfigurer votre périphérique mobile.

Connexions externes

Ce paramètre détermine quelles connexions aux domaines externes sont acceptées.
Rejeter tout
(Par défaut) Les tentatives de connexion à partir de toutes les adresses IP externes seront rejetées. Utilisez ce paramètre uniquement si vous devez procéder à une exploration à l'aide d'une application sur la même machine qu'AppScan.
Accepter la liste blanche uniquement
Les connexions à partir d'adresses IP externes qui apparaissent sur la liste blanche seront acceptées, les autres seront rejetées.
Accepter la liste blanche et me demander pour les autres
Les connexions à partir d'adresses IP externes qui apparaissent sur la liste blanche seront acceptées automatiquement. Pour toutes les autres, l'utilisateur AppScan doit répondre à une demande comportant une option d'ajout de la nouvelle adresse IP à la liste blanche. Sachez que les demandes ne sont visibles que si l'enregistreur de trafic externe est ouvert.

Liste blanche

Les connexions à partir d'adresses IP répertoriées dans cette liste seront acceptées automatiquement.

Pour ajouter de nouvelles adresses IP à la liste, cliquez sur l'icône plus et sélectionnez une option :

  • Pour ajouter une seule adresse IP, saisissez-la, ainsi qu'une description le cas échéant.
    Conseil : Si vous devez utiliser un périphérique distant mais que vous ne connaissez pas son adresse IP, ou si cette dernière change souvent, sélectionnez Accepter la liste blanche et me demander pour les autres. La première fois que le périphérique se connecte avec une nouvelle adresse IP, une fenêtre en incrustation s'affiche pour vous permettre d'ajouter cette dernière à la liste blanche.
  • Pour ajouter une plage d'adresses IP, ajoutez une adresse IPv4 et un masque de sous-réseau ou une adresse IPv6 et une longueur de préfixe de sous-réseau, et une description le cas échéant.

Certificat SSL AppScan

Comme AppScan doit agir en tant que proxy afin d'enregistrer le trafic entre le service Web et le périphérique utilisé pour l'exploration manuelle, le serveur utilisant HTTPS envoie les certificats SSL au périphérique à la place du certificat du service Web. Lorsqu'un navigateur reçoit un certificat non reconnu, il avertit généralement l'utilisateur via une fenêtre en incrustation, mais dans le cas d'un périphérique mobile, la demande est en général ignorée. Il est donc impossible d'explorer l'application à moins que le certificat AppScan soit accepté sur le périphérique qui envoie les demandes.
Ajouter
Ajoute le certificat SSL AppScan aux certificats racine sur cette machine.
Effectuez cette opération pour autoriser l'envoi des demandes au service Web. Le certificat AppScan sera ajouté au certificat racine et les demandes du service Web destinées au simulateur ne seront pas rejetées.
Remarque : Une fois le certificat ajouté, le bouton est remplacé par Supprimer et peut être utilisé pour supprimer le certificat de la machine AppScan.
Exporter
Sauvegarde le certificat SSL AppScan installé sur cette machine, sous forme de fichier ZIP, pour qu'il puisse être ajouté manuellement aux certificats racine sur un autre périphérique. Notez que cette opération n'est souvent pas nécessaire puisqu'il peut généralement être importé directement depuis le périphérique.
  1. Dans AppScan, cliquez sur Examen > Exploration manuelle > Utilisation du périphérique externe
    L'enregistreur du trafic externe s'affiche à l'état "En attente des connexions entrantes".
    Important : Laissez-le ouvert pour les sous-étapes suivantes.
  2. Sur le périphérique mobile, accédez au répertoire http://appscan
  3. Dans AppScan, si le système vous demande d'autoriser une connexion entrante à partir du périphérique, cliquez sur OK.
    Lorsque le périphérique est connecté à AppScan comme proxy, un message (sur le périphérique) confirme la connexion, l'adresse IP et le port. Si le certificat est installé sur la machine AppScan, un bouton permettant de l'installer sur le périphérique est également disponible.
    Remarque : Si ce bouton est grisé, le certificat n'est pas installé sur la machine AppScan.
    Remarque : Le domaine et la demande du périphérique s'affichent alors dans les listes de l'enregistreur de trafic externe.
  4. Sur le périphérique mobile, tapez Installer le certificat SSL AppScan
    Le certificat est installé.
    Remarque : Si le périphérique ne peut pas accéder à l'application que vous testez après cette procédure, installez manuellement le certificat (sur le périphérique distant ou l'application) :
    1. Dans AppScan, ouvrez Outils > Options > Enregistrement du proxy
    2. Cliquez sur Exporter et enregistrez le certificat sous forme de fichier ZIP.
    3. Installez le certificat en tant que certificat racine sur le périphérique ou l'application.
  5. Lorsque vous avez terminé, cliquez sur Annuler dans l'enregistreur du trafic externe pour fermer ce dernier.
Remarque : Cette option est active uniquement si le certificat est déjà ajouté aux certificats racine sur cette machine.
Avertissement : Le certificat AppScan qui est exporté doit être identique à celui qui est installé en local. Si vous supprimez le certificat local avant de le rajouter, vous devez le réinstaller sur le périphérique car le nouveau certificat est différent du précédent.

Pour plus d'informations, voir Utilisation d'AppScan comme proxy d'enregistrement