Welcome
Configuration
Vous configurez un examen en choisissant les paramètres qui décrivent le mieux votre application ainsi que le type de test souhaité.
Vues
API
Pour examiner les API Web, définissez votre type d'API, explorez les méthodes et spécifiez les domaines à tester.

Bienvenue
Bienvenue dans la documentation relative à HCL AppScan Standard, version 10.10.0.
Mise en route
La présente section fournit un court descriptif des fonctions et des procédures de base du produit.
Configuration
Vous configurez un examen en choisissant les paramètres qui décrivent le mieux votre application ainsi que le type de test souhaité.
- Prédéfinitions
  Les prédéfinitions vous donnent les principales vues de configuration requises pour un type d'examen particulier.
- Vues
  - URL de départ et domaines
    Configurez l'URL de départ pour l'examen, ainsi que tous les serveurs et domaines supplémentaires éventuels à inclure.
  - API
    Pour examiner les API Web, définissez votre type d'API, explorez les méthodes et spécifiez les domaines à tester.
    - Examen à l'aide d'un fichier de spécifications OpenAPI
      Vous pouvez utiliser un fichier de spécifications OpenAPI pour examiner automatiquement votre OpenAPI, ce qui offre une meilleure couverture en vous permettant de mettre à jour les paramètres et d'inclure tous les nœuds finaux. Cela garantit un examen plus précis et plus approfondi.
    - Examen à l'aide d'une collection Postman
      Si vous disposez d'une collection de requêtes Postman adressées à votre API Web, vous pouvez l'importer et l'utiliser comme base pour un examen.
  - Chemins et fichiers exclus
    Vous pouvez configurer AppScan pour qu'il ignore certains chemins de l'application ou des types de fichier spécifiques.
  - Opérations en plusieurs étapes
    Enregistrez et gérez les opérations en plusieurs étapes requises pour atteindre des parties spécifiques de l'application qui pourraient sinon être manquées.
  - Grand modèle linguistique (LLM)
    Configurez AppScan pour tester dynamiquement les fonctionnalités de grand modèle linguistique (LLM) dans vos applications pour détecter les risques tels que la divulgation d'informations sensibles, l'injection d'invite, l'exfiltration de données, l'utilisation abusive d'outils et les violations de stratégie de contenu. Ciblez les nœuds finaux de discussion, les pipelines de génération à enrichissement contextuel (RAG) et d'autres composants LLM, puis passez en revue les résultats reproductibles avec un historique des interactions LLM et des conseils de résolution.
  - Gestion de connexion
    Indiquez à AppScan® comment se connecter à votre application.
  - Clé d'API
    AppScan Standard prend en charge l'authentification API pour l'examen des API qui nécessitent une clé API.
  - Authentification multifactorielle (MFA)
    Configurez AppScan® pour utiliser un mot de passe à usage unique ou des questions de sécurité (authentification multifactorielle) lors de la connexion.
  - Authentification HTTP
    Ajoutez une authentification de niveau serveur et des certificats côté client, si cela est requis par l'application
  - Autorisation AWS
    Configurez les paramètres AWS.
  - Communication et proxy
    Configurez les paramètres de délai d'attente de communication et de serveur proxy.
  - Paramètres, cookies et en-têtes
    Identifiez les ID session et répertoriez les paramètres à exclure de l'examen.
  - Remplissage automatique de formulaires
    Fournissez à AppScan® des valeurs de paramètre valides pour le remplissage de formulaires dans votre application lors de l'examen.
  - Pages d'erreur
    Améliorez l'identification des pages d'erreur de votre application en ajoutant des chaînes ou des expressions régulières qui permettent à AppScan® de reconnaître vos pages d'erreur dans le contenu de la réponse, dans son chemin d'accès ou dans les deux. Cela garantit qu'AppScan peut reconnaître et traiter efficacement vos pages d'erreur, contribuant ainsi à la précision globale de vos examens de sécurité.
  - Explorer les options
    Définissez la méthode d'exploration (basée sur les actions, basée sur les demandes, ou les deux) qu'AppScan utilisera pour explorer l'application, ainsi que d'autres paramètres d'exploration de base et avancés.
  - Stratégie de test et optimisation
    Définissez la collection de tests qui sera envoyée à l'application pendant le test (la stratégie de test) et choisissez d'appliquer l'optimisation pour des examens plus rapides à certains moments du cycle de vie du produit où vous accordez plus d'importance à la vitesse qu'à la profondeur de l'examen.
  - Définition de l'environnement
    La définition de l'environnement n'est pas essentielle mais permet à AppScan® de ne pas envoyer de tests inappropriés lors de l'examen, ce qui le rend plus rapide et plus efficace. La personnalisation des scores environnementaux CVSS 3.1 améliore la précision de vos résultats d'examen.
  - Options de test
    Options de test supplémentaires.
  - Configuration avancée
    Cette vue donne accès à de nombreux paramètres avancés et ne doit être utilisée que par des utilisateurs AppScan expérimentés, ou lorsque l'équipe de support vous le demande pour résoudre un problème.
  - Scripts personnalisés
    Les scripts personnalisés dynamisent vos examens DAST. Vous pouvez ajouter du JavaScript pour manipuler les requêtes et les réponses HTTP pendant un examen, soit avant l'envoi d'un requête au serveur, soit après la réception d'une réponse.
  - Escalade des droits d'accès
    Comparez les examens qui utilisaient d'autres privilèges utilisateur pour déterminer si les ressources privilégiées sont accessibles aux utilisateurs non privilégiés.
  - Vue basée sur le contenu
    Permet de définir une structure logique pour l'arborescence de l'application, pour les cas où une arborescence basée sur une URL ne sera qu'une longue liste sous une ou deux URL. Il n'est pas primordial de procéder ainsi, mais cela facilite l'exploration des résultats.
- Structure des fichiers d'examen
  Explique la structure de base d'un fichier SCAN standard AppScan.
- Modèles d'examen
  Un modèle d'examen est simplement une configuration d'examen sauvegardée de sorte à pouvoir la réutiliser.
- Modification de la configuration pendant un examen
Analyse de résultats intelligente (IFA)
L'analyse de résultats intelligente (IFA) utilise l'intelligence artificielle (IA) et l'apprentissage automatique (ML) pour analyser les données, découvrir les schémas et faire des prévisions, transformant ainsi les données en informations exploitables. L'analyse IFA va au-delà de l'analyse régulière des données en utilisant des méthodes avancées pour trouver des significations plus approfondies et prendre des décisions intelligentes.
Exploration manuelle
L'exploration manuelle vous permet d'explorer des parties spécifiques de l'application en remplissant en même temps les zones et les formulaires. Cela permet de vous assurer que des zones spécifiques du site sont couvertes et qu'AppScan dispose des informations requises pour remplir correctement les formulaires.
Examen
La présente section décrit comment démarrer un examen, ce qui se produit lors de l'examen, comment manipuler manuellement l'étape d'exploration et comment exporter les résultats d'un examen.
Données
La vue Données contient des informations sur la structure du site pendant la phase d'exploration de l'examen.
Incidents
La vue Problèmes permet d'accéder aux résultats d'un examen. Vous pouvez visualiser des résultats à un niveau élevé ou sélectionner des tests ou des objets spécifiques et accéder à plus de détails. Ces détails comprennent des résolutions de problèmes, des demandes/réponses ainsi que les différences entre les variantes de test ayant provoqué des problèmes. Vous pouvez modifier la gravité des problèmes, renvoyer des tests (avec ou sans modifications) et créer des rapports basés sur les problèmes.
Rapports
Outils
La présente section explique comment utiliser les outils supplémentaires fournis avec HCL AppScan Standard.
Intégrations
Cette section décrit les intégrations d'autres applications à AppScan Standard :
Meilleures pratiques
La présente section fournit un certain nombre de valeurs recommandées et des scénarios d'utilisation pour les utilisateurs avancés.
FAQ et traitement des incidents
Interface de ligne de commande
La présente section décrit la syntaxe et les options disponibles avec l'interface de ligne de commande.
Références
Résumés des menus et des barres d'outils, et glossaire

API

Pour examiner les API Web, définissez votre type d'API, explorez les méthodes et spécifiez les domaines à tester.


Paramètre	Détails
Type d'API	Parmi les options suivantes, sélectionnez le type d'API que vous souhaitez examiner : Fichier de spécifications OpenAPI Collection Postman Pour plus d'informations, reportez-vous aux rubriques suivantes : Examen à l'aide d'un fichier de spécifications OpenAPI Examen à l'aide d'une collection Postman
Paramètres supplémentaires	Lorsque vous ajoutez un fichier de spécifications OpenAPI, AppScan analyse et affiche les paramètres HTTP dans ce tableau. AppScan détecte automatiquement les valeurs des paramètres pendant l'exploration, mais vous pouvez mettre à jour manuellement les paramètres pour de meilleures performances dans les cas où la valeur ne peut pas être détectée automatiquement pendant l'exploration. Si votre fichier de spécifications contient une authentification, configurez-la à l'aide de l'une des méthodes suivantes : Configurer la clé API Configurer l'authentification de base (HTTP) Enregistrer la connexion via Postman
Domaines à tester	Si vous utilisez une collection Postman, saisissez les domaines que vous souhaitez inclure dans l'examen. Si vous utilisez un fichier de spécifications, les domaines de votre URL de base sont automatiquement répertoriés. Si votre API inclut des liens vers des domaines autres que le domaine de l'URL de base, vous devez les ajouter pour qu'ils soient inclus dans l'examen. Pour plus d'informations, voir Domaines à tester.
Remarque : Lorsque vous avez configuré des paramètres supplémentaires, tels que la stratégie de connexion ou de test et l'optimisation, vous pouvez exécuter un examen complet ou l'exploration uniquement.