Configuration initiale

Pourquoi et quand exécuter cette tâche

Effectuez la procédure de la configuration de base avant de tenter d'explorer le site, manuellement ou automatiquement.

Procédure

  1. Définissez et vérifiez l'URL de départ de l'examen.
    1. Cliquez sur Fichier > Nouveau et créez un nouvel examen d'application Web à l'aide de l'assistant (ou configurez-le avec la boîte de dialogue de configuration, Configuration des examens > Vue URL et serveurs).
    2. Saisissez l'URL de départ de l'examen.
    3. Si votre application est sensible à la casse, vérifiez que la case Chemin d'accès sensible à la casse est cochée.

      Le plus souvent, les applications qui s'exécutent sur les systèmes de type Linux sont sensibles à la casse, tandis que celles qui s'exécutent sous Microsoft Windows ne le sont pas. Les applications Java constituent une exception et sont, en général, sensibles à la casse quel que soit le système d'exploitation.

    4. Cliquez sur l'icône Afficher dans le navigateur, à côté de la zone d'URL, et vérifiez que la page attendue s'affiche dans le navigateur AppScan.
  2. Enregistrez la procédure de connexion. Cela permet à AppScan de se connecter à l'application pour démarrer l'examen, ou se reconnecter en cas de déconnexion pendant l'examen.
    1. A l'étape 2 de l'assistant, (ou dans Configuration des examens > Vue Gestion de connexion), cliquez sur le bouton rouge Enregistrer pour commencer à enregistrer les actions. Le navigateur s'ouvre à la page de l'URL de départ définie précédemment.
    2. Effectuez toutes les étapes par lesquelles un utilisateur doit passer pour se connecter à l'application.
    3. Recherchez sur la page une indication confirmant que vous êtes bien connecté, par exemple "Bienvenue [nom d'utilisateur]", ou un lien "Déconnexion", disponible uniquement lorsque l'utilisateur est connecté.
    4. Fermez le navigateur et recherchez l'icône Clé verte confirmant que le schéma En session a été identifié.
      Si l'icône est rouge , aucun schéma En session n'a été détecté, et vous devez le définir manuellement (voir Boîte de dialogue Sélectionner un schéma de détection).
      Remarque :
      En général, la première adresse URL dont la réponse comprend le schéma en session doit être l'"URL En session", et c'est aussi l'adresse URL qui est sélectionnée automatiquement. Mais vous pouvez cependant améliorer la performance en sélectionnant une autre adresse URL (voir Optimisation de la détection en session).
  3. Validez le schéma En session. Le schéma En session est une expression régulière qui correspond au schéma ou à la chaîne affiché(e) pour l'utilisateur sur la page de connexion lorsque celle-ci a abouti, comme "Bienvenue [nom d'utilisateur]", ou un lien "Déconnexion". Même si l'icône est verte, vérifiez le schéma.
    1. A l'étape 2 de l'assistant, sélectionnez Je souhaite configurer les options de détection en session, puis cliquez sur Suivant (ou accédez à Configuration des examens > Gestion de connexion > Vue Détails).

      La séquence de connexion s'affiche.

    2. Cliquez deux fois sur la page signalée comme "En session" pour l'ouvrir dans le navigateur.
    3. Dans le navigateur, cliquez sur l'onglet Demande/Réponse pour voir le code source, et vérifiez que le schéma sélectionné indique effectivement le statut En session.
      Remarque :
      Si le contenu de la page est en JavaScript ou en CSS, il ne peut en aucun cas convenir comme page En session, et vous devez choisir une autre page.

    Si l'icône Clé est verte alors que le schéma sélectionné n'est pas un schéma En session, reportez-vous à la rubrique Traitement des incidents liés à la connexion basée sur les demandes.

  4. Configuration du blocage de compte. Pendant l'étape de test, AppScan effectue de nombreuses tentatives de connexion non valides. Si votre site dispose d'une fonction qui verrouille les comptes après la saisie d'un certain nombre de mots de passe, le compte d'AppScan est verrouillé et ne peut pas continuer l'examen.
    • Désactivez la fonction de blocage du compte, ou (si c'est compliqué)
    • Configurez AppScan pour qu'il ne teste pas les pages de connexion et de déconnexion (Configuration des examens > Options de test, désélectionnez Envoyer les tests sur les pages de connexion et de déconnexion).