Détection de session

Configurez la détection de la session afin qu'AppScan puisse vérifier le statut pendant les examens en sélectionnant une requête de détection en session et en définissant un schéma de détection en session (ou hors session). Utilisez des dialogues avancés pour passer en revue la séquence de connexion enregistrée, définir la requête en session, choisir ou définir les schémas (expressions régulières prises en charge) et valider ou dépanner avec Revalider et Exécuter l'analyse de connexion.

Tableau 1. Options avancées

Paramètre

Détails

Lecture de la connexion

Cette section apparaît uniquement si Connexion enregistrée est la méthode de connexion sélectionnée

Méthode de lecture de la connexion
Lorsque vous enregistrez en utilisant le navigateur intégré, AppScan enregistre deux versions de la séquence de connexion que vous avez enregistrée : une basée sur les actions que vous avez effectuées, et l'autre sur les demandes HTTP réellement envoyées.
  • Basés sur les actions : (Utilisée par défaut lorsque cela est possible :) AppScan tente de se connecter via la séquence de connexion basée sur les actions, en réexécutant les clics et les frappes de l'utilisateur.
    • Relire l'enregistrement : Ouvre le lecteur Basée sur les actions et rejoue la séquence de connexion enregistrée dans son navigateur.
    • Modifier la lecture : Ouvre l'éditeur Basée sur les actions pour voir et éditer les détails de l'enregistrement de connexion.
  • Basée sur les requêtes : Si cette méthode échoue, AppScan utilise la version basée sur les demandes, laquelle renvoie les demandes HTTP brutes à partir de l'enregistrement de connexion.
Si un message indique l'échec d'une de ces méthodes, faites appel à l'autre méthode.
Remarque : Si vous sélectionnez la connexion Basée sur les actions et qu'elle échoue, AppScan essaiera la connexion Basée sur les demandes. En cas de réussite, le paramètre ici sera automatiquement remplacé par Basée sur les demandes.
Remarque : La connexion basée sur les actions n'est disponible qu'en cas d'utilisation des navigateurs intégrés. Si vous enregistrez avec un navigateur externe ou un client externe, seule la connexion basée sur les demandes est disponible.

Connexion automatique

Cette section apparaît uniquement si Connexion automatique est la méthode de connexion sélectionnée
Analyser la configuration de connexion automatique > Analyser Cliquez pour qu'AppScan effectue les actions suivantes :
  • Tentative de connexion au site à l'aide des données d'identification que vous avez fournies
  • Identification d'un schéma de détection en session sur la page de connexion (voir ci-dessous)
  • Configuration d'identificateurs de session (voir ID session de connexion

Détection de session

Au cours du balayage, AppScan doit savoir à tout moment s'il est connecté ou déconnecté du site afin de pouvoir évaluer correctement les réponses du site. Pendant l'examen, AppScan envoie la demande de détection en session à plusieurs reprises et vérifie que la réponse contient le schéma de détection en session, afin de vérifier qu'il est toujours connecté. Si AppScan ne trouve pas le schéma dans la réponse de la page, AppScan suppose qu'il a été déconnecté et tente de se reconnecter en réexécutant la séquence de connexion. La séquence de connexion est, en général, exécutée plusieurs fois pendant l'examen. Il est donc préférable qu'elle contienne un nombre d'étapes aussi réduit que possible. Il est également utile que la page En session soit de petite taille et qu'elle ne contienne pas de paramètres suivis ou de cookies, car ces derniers peuvent prolonger considérablement la durée de l'examen.

Requête de détection en session

Il s'agit de la demande utilisée par AppScan pour vérifier qu'il est toujours En session. Cette demande doit être une requête produisant différentes réponses en fonction du statut de connexion de l'utilisateur.

AppScan tente d'identifier des demandes En session valides, et vous pouvez sélectionner l'une d'elles dans la liste déroulante. Si aucune demande n'est trouvée, ou adaptée, vous pouvez sélectionner votre propre demande à l'aide du bouton Sélection de demande avancée.

Bouton Sélection de demande avancée

Ce bouton permet d'ouvrir une boîte de dialogue dans laquelle vous pouvez consulter les demandes dans la séquence de connexion, et sélectionner une demande de la détection En session. Pour plus de détails, voir Détection de session.

Schéma de détection en session

(Actif uniquement lorsqu'une demande de la détection En session est sélectionnée :) Ce champ affiche un schéma trouvé dans la demande de la détection En session sélectionnée, qui indique que l'utilisateur est En session (ou Hors session si cette option est sélectionnée).

La liste déroulante vous permet de sélectionner un schéma de détection parmi les candidats identifiés par AppScan dans l'enregistrement de connexion, et le message vert ou rouge sous le schéma indique si le schéma actuel est valide ou non valide.
Remarque : En général, il est préférable d'utiliser un schéma en session. Toutefois, dans les rares cas où le schéma En session n'est pas toujours renvoyé à la suite d'une demande En session, ou lorsqu'il est compliqué de le définir, vous pouvez utiliser un schéma Hors session à la place.
Si AppScan n'a pas été en mesure d'identifier un schéma valide, ou si vous devez en sélectionner un autre, utilisez le bouton Sélection de schéma avancée (rangée suivante de ce tableau).

Expression régulière : Cochez cette case pour entrer une expression régulière afin d'identifier le schéma.

Pour plus de détails, voir Boîte de dialogue Sélectionner un schéma de détection.

Bouton Sélection de schéma avancée

(Actif uniquement lorsqu'une demande de la détection En session est sélectionnée :) Ce bouton ouvre la boîte de dialogue Sélectionner le schéma de détection, affichant le contenu des réponses En session et Hors session aux demandes dans la Séquence de connexion que vous avez enregistrée (en fonction du schéma de détection sélectionné). Cela vous permet de voir le schéma de détection sélectionné dans le contexte de la réponse, et de définir un schéma de détection qui n'est pas répertorié dans la zone de liste déroulante. La boîte de dialogue vous permet de basculer entre toutes les réponses enregistrées. Dans la partie supérieure de la boîte, vous pouvez également voir les demandes en session et hors session envoyées par AppScan.

Validation

Valider à nouveau

 Actif uniquement si la séquence de connexion actuelle a été vérifiée. Cliquez pour valider à nouveau la séquence et le schéma de détection de session.
Exécuter l'analyse de connexion Active uniquement lorsqu'une connexion a été enregistrée mais que la configuration de détection en session est manquante ou incorrecte. Elle permet au système d'utiliser la connexion enregistrée pour analyser et tenter d'identifier la configuration adéquate. Si la configuration est valide, le lien « Valider à nouveau » s'affiche comme c'est habituellement le cas. Cette fonction est particulièrement utile à des fins de dépannage, en ce qu'elle permet aux utilisateurs d'ajuster la séquence de connexion enregistrée et de trouver la configuration de détection en session sans avoir à enregistrer à nouveau la connexion.

Sélection de demande avancée

Boîte de dialogue de sélection de requête En session avancée, qui s'ouvre depuis Configuration > Gestion des connexions > Options avancées > Options avancées > Détection de session > Sélection de requête avancée.

Il s'agit d'une version de la Boîte de dialogue Modifier la connexion basée sur les demandes avec davantage d'options. Dans cette boîte de dialogue, vous pouvez :
  • Voir la séquence des demandes que vous avez envoyées lors de la connexion.
  • Voir la demande de la détection En session
    Remarque : La page marquée "En session" doit correspondre à la première page à surligner. Si une page précédente à la page "Connexion" est surlignée, alors soit le schéma En session est incorrect, soit une page incorrecte est marquée "En session".
  • Voir tous les URL de la séquence dans un navigateur.
  • Définir une demande différente de la demande En session et sélectionner un nouveau schéma de détection En session depuis cette nouvelle demande.
  • Supprimer les demandes qui ne sont pas nécessaires avant l'URL "En session", pour éviter à AppScan de répéter ces demandes inutiles de nombreuses fois pendant un examen.
  • Voir les demandes envoyées après la demande de détection En session qui contiennent le schéma de détection En session et sont marquées comme "Ignorer".
  • Rechercher les demandes dans la séquence
  • Afficher uniquement les demandes de domaines spécifiques
  • Ouvrir la boîte de dialogue Sélection du schéma de détection pour sélectionner un schéma qui n'est pas suggéré par AppScan
Tableau 2. Paramètres "Sélection de demande En session avancée"

Paramètre

Détails

Liste principale

Affiche toutes les demandes de la procédure de connexion enregistrées.

Rechercher

Affichez seulement les requêtes qui contiennent la chaîne de texte que vous avez saisie, dans URL, Demande, Réponse ou Tous.

Afficher les domaines

Affiche uniquement les demandes des domaines sélectionnés dans la liste déroulante.

Cliquez pour qu'AppScan effectue les actions suivantes :

Bouton Définir comme demande En session

Définit la demande sélectionnée comme la Demande En session qui sera utilisée par AppScan au cours de l'analyse pour vérifier qu'il est toujours connecté.

Vous pouvez également faire cela en effectuant un clic droit sur une demande dans la liste.

Bouton Sélection de schéma avancée

Ouvre la boîte de dialogue Sélectionner le schéma de détection, affichant le contenu des réponses En session et Hors session aux demandes dans la Séquence de connexion que vous avez enregistrée (en fonction du schéma de détection sélectionné). Cela vous permet de voir le schéma de détection sélectionné dans le contexte de la réponse, et de définir un schéma de détection qui n'est pas répertorié dans la zone de liste déroulante. La boîte de dialogue vous permet de basculer entre toutes les réponses enregistrées. Dans la partie supérieure de la boîte, vous pouvez également voir les demandes en session et hors session envoyées par AppScan.

Vous pouvez également faire cela en effectuant un clic droit sur une demande dans la liste.

le bouton Afficher dans le navigateur

Affiche la réponse reçue pour la demande sélectionnée lorsque la connexion a été enregistrée. La fenêtre qui s'ouvre présente deux onglets : L'onglet Navigateur affiche la réponse reçue, et l'onglet Demande/Réponse affiche les données brutes pour la demande et la réponse.

bouton moins

 Supprime la demande sélectionnée de la séquence de connexion.

Schéma de détection

Ce champ affiche un schéma trouvé dans la demande de la détection En session sélectionnée, qui indique que l'utilisateur est En session (ou Hors session si cette option est sélectionnée).

La liste déroulante vous permet de sélectionner un schéma de détection parmi les candidats qu'AppScan a identifié dans l'enregistrement de connexion, tandis qu'une couleur verte ou rouge indique si le schéma est valide ou non.
Remarque : En général, il est préférable d'utiliser un schéma en session. Toutefois, dans les rares cas où le schéma En session n'est pas toujours renvoyé à la suite d'une demande En session, ou lorsqu'il est compliqué de le définir, vous pouvez utiliser un schéma Hors session à la place.
Si AppScan n'a pas été en mesure d'identifier un schéma valide, ou si vous devez en sélectionner un autre, utilisez le bouton Sélection de schéma avancée pour sélectionner le vôtre.