Fonctionnement d'un examen automatique
Cette rubrique explique la différence entre les "étapes" et les "phases" d'un examen.
Un examen intégral AppScan est constitué de deux étapes : l'exploration et le test. Il est utile de comprendre l'idée principale d'un examen, même si le processus de l'examen est en fait continu pour l'utilisateur et que celui-ci n'a pas beaucoup d'opérations à effectuer jusqu'à ce que l'examen soit terminé.
Etape d'exploration
Lors de la première étape, AppScan explore le site (application Web ou service Web) en simulant un utilisateur Web qui clique sur des liens et renseigne des zones de formulaire. Il s'agit de l'étape d'exploration.
AppScan analyse les réponses à chaque demande qu'il envoie, recherchant toute indication de vulnérabilité potentielle. Lorsqu'AppScan® reçoit une réponse pouvant indiquer une vulnérabilité de sécurité, il crée automatiquement un test (ou des tests) basé sur la réponse et note les règles de validation nécessaires pour déterminer quels résultats constituent la vulnérabilité ainsi que le niveau de risque pour la sécurité impliqué.
Avant d'envoyer les tests créés spécifiques au site, AppScan envoie plusieurs demandes syntaxiquement incorrectes à l'application pour déterminer de quelle manière elle génère des messages d'erreur. Ces informations sont ensuite utilisées pour améliorer la précision du processus de validation de test automatique d'AppScan.
Etape de test
Lors de la seconde étape, AppScan envoie des milliers de demandes de test personnalisées créées pendant l'étape d'exploration. Il enregistre et analyse la réponse de l'application pour chacun des tests à l'aide des règles de validation personnalisées. Ces règles identifient les problèmes de sécurité au sein de l'application et les classent selon leur niveau de risque pour la sécurité.
Phases de l'examen
En pratique, l'étape de test révèle souvent de nouveaux liens au sein d'un site, et plus de risques de sécurités potentiels. Cependant, une fois la première "phase" des étapes d'exploration et de test terminée, AppScan commence automatiquement une seconde "phase" pour traiter les nouvelles informations. Si de nouveaux liens sont découverts pendant la deuxième phase, une troisième phase est exécutée, etc.
Une fois que le nombre de phases d'examen configuré par l'utilisateur (ou valeur par défaut de quatre phases) est atteint, l'examen s'arrête et les résultats obtenus sont disponibles.
Illustration d'un flux d'examens automatique
Le diagramme suivant illustre les étapes et les phases d'un flux d'examens automatique. Notez que ce processus ne requiert pas d'actions de la part de l'utilisateur, mais vous pourrez trouver des références à ces dernières dans le journal d'AppScan®.