Méthodes d'exploration pour les applications Web et les API

Cette rubrique présente les différentes méthodes d'exploration de sites avant que ceux-ci soient testés par AppScan.

L'examen d'un site commence par une exploration qui, en fonction des données rassemblées, est suivie d'un test. Les "données d'exploration" peuvent être rassemblées en utilisant une ou plusieurs méthodes d'exploration. Dans tous les cas, ces données, une fois rassemblées sont utilisées par AppScan pour créer et envoyer des tests au site pendant l'étape de test.
Exploration d'applications web (sites avec interface utilisateur)
  • Dans le cas de nombreuses applications, il suffit souvent de fournir à AppScan l'adresse URL de départ et les données d'authentification pour lancer le test sur le site.
  • Exploration manuelle : Si nécessaire, vous pouvez parcourir manuellement le site via AppScan afin d'accéder à des zones accessibles uniquement à l'aide d'entrées utilisateur spécifiques.
  • Opérations en plusieurs étapes : Pour les pages accessibles uniquement via des pages sélectionnées dans un ordre spécifique, vous pouvez enregistrer une opération en plusieurs étapes à utiliser par AppScan.
Alors que l'Assistant de configuration vous permet de configurer et de démarrer votre numérisation en quelques étapes, pour les sites complexes, la boîte de dialogue Configuration vous permet d'affiner et de personnaliser de nombreux autres paramètres.
Exploration des API Web
AppScan propose trois méthodes principales pour explorer les API Web :

  1. Importation d'une collection Postman

    Si vous avez pré-enregistré une collection Postman de requêtes d'API dans le cadre de votre processus DevOps, vous pouvez importer la collection pour l'utiliser comme phase d'exploration de l'examen. AppScan analyse et utilise la collection pour tester le site. Voir Examen à l'aide d'une collection Postman

  2. Utiliser un fichier de spécifications OpenAPI
    • Si vous disposez d'un fichier de spécifications OpenAPI (au format JSON ou YAML) pour votre service Web, vous pouvez l'utiliser comme base pour votre examen. AppScan lance un examen automatique basé sur la description. Voir Examen à l'aide d'un fichier de spécifications OpenAPI.
  3. Configuration du proxy d'enregistrement
    1. Configuration de l'appareil : Configurez AppScan comme proxy d'enregistrement pour l'appareil (tel qu'un téléphone mobile ou un simulateur) que vous utilisez pour explorer le service. AppScan analyse ensuite les données d'exploration collectées et envoie les tests appropriés.
    2. Enregistrement de l'outil externe : Vous pouvez également utiliser AppScan pour enregistrer le trafic à l'aide d'un outil externe, tel qu'un testeur fonctionnel d'API Web. Voir Utilisation d'un client externe.
En plus des méthodes répertoriées ci-dessus, vous pouvez également choisir l'exploration manuelle ou l'importation des données d'exploration. Dans tous les cas, une fois que vous avez fourni à AppScan les données d'exploration, il peut procéder à un test automatique du site et présenter les résultats de l'examen pour révision et triage.