Configuration avancée
Cette vue vous donne accès à de nombreux paramètres de registre avancés et ne doit être utilisée que par des utilisateurs AppScan expérimentés, ou lorsque l'équipe de support vous le demande pour résoudre un problème.
Nom |
Description |
Scénarios d'utilisation possibles |
---|---|---|
Basés sur les actions : |
||
Navigateur de lecture de connexion |
Lorsque vous enregistrez la séquence de connexion, le navigateur AppScan intégré est toujours utilisé pour effectuer l'enregistrement basé sur les actions. Toutefois, vous pouvez configurer le navigateur utilisé par AppScan lors de la lecture de l'enregistrement pendant l'examen. Les options sont les suivantes :
Valeur par défaut : 0 |
|
Nombre d'instances de navigateur autorisées pendant l'étape de test |
Définit le nombre d'instances de navigateur qui peuvent être utilisées au cours de l'étape de test de l'examen. Valeur par défaut = 5 |
Si votre site utilise de manière intense un code JavaScript client, AppScan va alors se bloquer pendant l'examen, réduisez donc ce nombre. |
Limite de consommation de mémoire |
Si l'utilisation de la mémoire AppScan atteint ce seuil, AppScan essaiera de réduire l'utilisation des ressources en limitant le nombre d'unités d'exécution. Valeur par défaut = 1 000 Mo |
|
Navigateur de lecture d'opérations en plusieurs étapes |
Lorsque vous enregistrez une séquence en plusieurs étapes, le navigateur AppScan intégré est toujours utilisé pour effectuer l'enregistrement basé sur les actions. Toutefois, vous pouvez configurer le navigateur utilisé par AppScan lors de la lecture de l'enregistrement pendant l'examen. Les options sont les suivantes :
Valeur par défaut : 1 |
|
Délai d'attente de non-interaction pour la lecture d'opérations en plusieurs étapes |
Délai d'attente sans interaction (en secondes) avant l'arrêt de la lecture d'une opération en plusieurs étapes. Valeur par défaut : 10 |
|
Enregistrer les captures d'écran lors de l'exploration automatique |
AppScan peut enregistrer une capture d'écran de chaque page visitée lors de l'exploration automatique, mais cela peut affecter les performances et augmenter considérablement la taille du dossier temporaire dans lequel les données sont enregistrées. Par défaut, les données d'exploration sont enregistrées à l'emplacement suivant :
Les données sont supprimées lors de la fermeture d'AppScan. Valeur par défaut : False |
Définissez cette valeur sur True si vous souhaitez passer en revue ces captures d'écran pour vérifier la phase d'exploration automatique. Notez que lorsque vous fermez AppScan, les captures d'écran ne sont pas enregistrées. |
Délai d'attente pour la tentative de connexion |
Durée en secondes pendant laquelle AppScan attend que le navigateur tente à nouveau d'effectuer une connexion basée sur les actions, avant de provoquer la fermeture du navigateur. Valeur par défaut : 120 |
|
Utiliser le moteur de balayage du Web .NET |
Par défaut, AppScan utilise un moteur de balayage du Web basé sur .NET. Si nécessaire, vous pouvez remplacer ce paramètre par False pour utiliser un moteur de balayage basé sur Java à la place. Valeur par défaut : True |
Si le moteur de balayage du Web ne couvre pas l'application complètement ou moins complètement que dans AppScan 10.0.8 (lorsque le moteur de balayage Java était le moteur de balayage par défaut, essayez de remplacer le paramètre par False pour utiliser le moteur de balayage Java à la place. |
Autorisation AWS | ||
Intervalle d'actualisation de Cognito |
L'intervalle en secondes entre des requêtes de mise à jour de clé Cognito. Valeur par défaut : 270 |
|
Communication : |
||
Valeur d'en-tête de requête langage Accept |
Chaîne envoyée pour l'en-tête du langage ACCEPT dans toutes les requêtes HTTP. Si la valeur n'est pas définie par l'utilisateur, AppScan utilise la valeur envoyée par le navigateur lorsque l'utilisateur ouvre celui-ci pour la première fois au cours de l'examen, pour enregistrer la procédure de connexion ou une opération en plusieurs étapes, ou pour afficher une page. Remarque : Si vous modifiez le navigateur par défaut, consultez les conditions décrites à la rubrique Modification du navigateur par défaut. Valeur par défaut : fr-FR |
Lors de l'étape d'exploration, AppScan peut recevoir une réponse inattendue en raison de la valeur de l'en-tête Internet Explorer. Dans ce cas, vérifiez quelle valeur doit être utilisée dans l'en-tête de langage ACCEPT lors de l'interaction avec le site, et définissez-la dans ce paramètre (ou dans Internet Explorer). |
En-têtes personnalisés |
Permet de définir des en-têtes personnalisés à ajouter à toutes les requêtes envoyées par AppScan au site. Valeur par défaut : vide |
Si votre site attend un contenu d'en-tête spécifique (par exemple, si l'accès au site s'effectue via un plug-in client ou de navigateur spécifique), définissez le ou les en-têtes ici. Chaque en-tête doit être précédé par un délimiteur. L'en-tête et sa valeur doivent être séparés par un deux-points suivi d'un espace. Format : délimiteur|en-tête|deux-points et espace|valeur Exemple 1 : (Dans cet exemple, le délimiteur est ; )Exemple 2 : (Dans cet exemple, le délimiteur est , ) |
Forcer une demande HTTP sans paramètre dans chaque action de formulaire |
Dans certains cas, la logique côté serveur peut se comporter différemment lorsqu'une soumission de formulaire sans paramètre est reçue. Si l'option a pour valeur True, AppScan envoie une demande supplémentaire, sans paramètre, à chaque formulaire. En conséquence, des pages d'erreur personnalisées comportant des liens vers d'autres pages Web et d'autres fonctions peuvent être renvoyées. Valeur par défaut : Vrai |
Si vous remarquez, lorsque vous affichez le trafic au cours de l'examen, que des soumissions de formulaire sans paramètre entraînent des dépassements de délai d'attente ou des pannes de l'application, vous pouvez choisir d'associer cette option à la valeur False. |
Inclure un en-tête Content-Length dans toutes les requêtes |
Certains serveurs nécessitent un en-tête Content-Length même dans les requêtes pour lesquelles la sémantique du corps du message n'est pas définie (telle que la méthode GET). S'il est manquant, le serveur rejettera la requête. Pour résoudre ce problème, AppScan ajoutera un en-tête Content-Length aux requêtes qui n'en ont pas. Lorsque la valeur est True, AppScan ajoute un en-tête Content-Length à toute requête qui n'en contient pas encore. Lorsque la valeur est False, AppScan ajoute un en-tête Content-Length à toute requête qui n'en contient pas encore, uniquement si :
Valeur par défaut : True |
Si le comportement par défaut provoque des réponses 400 Bad Request du serveur, car il ne s'attend pas à un en-tête Content-Length pour une requête GET (étant donné que les requêtes GET n'incluent généralement pas de corps de requête), remplacez ce paramètre par False. |
Inclure les en-têtes de débogage AppScan dans toutes les demandes |
Si cette option a pour valeur True, un en-tête HTTP est ajouté à toutes les demandes envoyées par AppScan au site. Le nom de l'en-tête est "X-AppScan-Debug" et sa valeur inclut des informations sur la raison pour laquelle AppScan envoie cette demande particulière (exploration, test, lecture de la connexion, recherche des serveurs arrêtés, etc.). Valeur par défaut : Faux |
La configuration de l'examen en vue de l'envoi d'en-têtes "X-AppScan-Debug" peut être utile pour le suivi du trafic AppScan® dans des outils externes tels que des débogueurs Web, des proxys, des analyseurs et des renifleurs. Remarque : Il se peut que certains sites rejettent les demandes incluant ce type d'en-tête. |
Longueur de réponse maximale |
AppScan tronque les réponses longues pour éviter des problèmes de consommation de la mémoire. Ce paramètre définit la longueur de réponse maximale autorisée, en Mo. Les réponses plus longues sont traitées comme des erreurs. Valeur par défaut : 8 |
Si des liens semblent être absents dans AppScan, ou que la session est interrompue, et que l'application a l'habitude de renvoyer des réponses longues, l'augmentation de la longueur de réponse maximale peut être la solution à ce problème. |
Supprimer l'en-tête de codage ACCEPT |
AppScan supprime tous les codages qu'il ne prend pas en charge. Si ce paramètre est activé, AppScan® supprimera l'intégralité de l'en-tête et non pas seulement les codages qu'il ne prend pas en charge. Valeur par défaut : True |
Si le serveur rejette les demandes d'AppScan, renvoie des réponses inattendues ou si AppScan ne parvient pas à maintenir ouverte la session, consultez le journal du trafic et comparez les demandes envoyées par AppScan à celles de votre navigateur habituel. Si l'en-tête de codage ACCEPT est différent ou manquant dans votre navigateur, vous devez activer ce paramètre. |
Réutiliser les connexions serveur |
Par défaut, AppScan ferme les connexions TCP après leur utilisation, car les connexions ouvertes, ainsi que les données sauvegardées, peuvent avoir un impact sur les résultats de l'examen. Si cette option a pour valeur True, AppScan laisse les connexions ouvertes après leur utilisation et tente de les réutiliser dès que possible. Valeur par défaut : False |
Si des erreurs indiquant que les ressources du réseau sont épuisées surviennent sur le serveur Web, vous pouvez tenter de résoudre le problème en associant ce paramètre à la valeur True. |
Ordre des packages de sécurité |
AppScan prend en charge l'authentification Basic, Digest, NTLM, Negotiate, et Kerberos HTTP. Editez cette valeur pour forcer AppScan à utiliser ou non une méthode spécifique ou pour appliquer un ordre de préférence pour la sélection des méthodes lorsque le site ou le proxy en admet plusieurs. Par exemple, pour autoriser NTLM et Basic seulement et utiliser NTLM de préférence si disponible, remplacez la chaîne par : Valeur par défaut : Valeur par défaut : basic, digest, ntlm, negotiate, kerberos |
Si votre site utilise une méthode d'authentification spécifique et que l'accès est refusé à AppScan, vous pouvez définir la méthode requise comme méthode unique pour tenter de résoudre le problème. Pour tester votre site avec des méthodes spécifiques, par exemple Basic et NTLM, vous pouvez configurer un examen avec la méthode Basic seulement et un deuxième examen avec la méthode NTLM seulement. |
Normalisation des barres obliques |
Normalisez les URL en remplaçant deux barres obliques consécutives (ou plus) par une seule. Valeur par défaut : True |
Si les URL de votre site utilisent des barres obliques consécutives, désactivez ce paramètre. |
Traiter la réponse en cas d'erreur comme valide |
AppScan traite les pages d'erreur différemment des pages ordinaires (par exemple, leurs liens ne sont pas analysés). Ce paramètre vous permet d'indiquer à AppScan de traiter les pages d'erreur comme s'il s'agissait de pages ordinaires pour l'URL de départ uniquement ou dans tous les cas. Lorsque la valeur définie est 0, AppScan traite toutes les réponses en cas d'erreur comme non valides. Lorsque la valeur définie est 1, AppScan traite toutes les réponses en cas d'erreur pour l'adresse URL de départ (4xx et 5xx) comme étant valides. Lorsque la valeur définie est 2, AppScan considère que toutes les réponses en cas d'erreur sont valides pour les pages standard et l'adresse URL de départ. Valeur par défaut : 0 |
Si la réponse à votre adresse URL de départ est une page d'erreur, associez la valeur 1 au paramètre. Pour que l'examen procède à l'extraction de données à partir de pages d'erreur et les teste, associez la valeur 2 au paramètre. La modification du paramètre par défaut peut avoir un impact sur les performances. |
Préférence HTTP |
Définit la version HTTP préférée qu'AppScan doit utiliser lors de l'analyse. Si le serveur ne prend pas en charge la version choisie, AppScan choisira la meilleure option prise en charge. Les options sont les suivantes :
Valeur par défaut : 1 |
Important : AppScan ne peut analyser les sites Web HTTP/2 que s'ils utilisent également TLS 1.2. Les sites Web non HTTPS et les sites Web qui utilisent des versions antérieures de TLS seront analysés avec HTTP/1.1. |
Prise en charge du protocole TLS |
Répertorie les protocoles TLS autorisés. AppScan choisira le protocole le plus sécurisé autorisé par la configuration de l'utilisateur et par le serveur. La valeur de cette zone doit être une liste séparée par des virgules. Valeur par défaut : TLS 1.3, TLS 1.2, TLS 1.1, TLS 1.0
Remarque : TLS 1.3 est pris en charge uniquement lorsqu'AppScan s'exécute sur le système d'exploitation : Windows Server 2022, Windows 11, ou version ultérieure. |
Si nécessaire, SSL 3.0 peut être ajouté à la liste des protocoles autorisés. |
Général : |
||
Suppression des fenêtres contextuelles d'erreur de script dans le navigateur AppScan |
Supprime les fenêtres contextuelles d'erreur de script dans le navigateur intégré AppScan pendant l'enregistrement et la lecture de la connexion basée sur les actions, l'exploration manuelle, l'enregistrement en plusieurs étapes et l'affichage dans le navigateur. Valeur par défaut : False |
Si des messages d'erreur contextuels inappropriés interfèrent avec l'enregistrement et la lecture de la connexion basée sur les actions, vous pouvez les supprimer en définissant cette valeur sur True. Notez que d'autres fenêtres contextuelles, comme des erreurs "Authentification HTTP" et des invites "Installer le contrôle ActiveX" seront également supprimées. |
Activer "Modèle pour les requêtes JS à exclure du filtre proxy" |
Activer "Modèle pour les requêtes JS à exclure du filtre proxy" |
|
Chiffrer des données sensibles |
Lorsque la valeur est True, les données suivantes sont chiffrées dans tous les fichiers enregistrés ou exportés via AppScan (SCANT, LOGIN, SEQ, ASFF) :
Lorsque la valeur est False, seuls le mot de passe et la clé secrète TOTP sont chiffrés dans ces fichiers. Valeur par défaut : True |
|
Fusionner les tests redondants |
Lorsqu'il est défini sur True, AppScan envoie un seul ensemble de tests sur deux demandes (ou plus) qui sont identiques, à l'exception des cookies supplémentaires. S'il est défini sur False, toutes ces demandes seront testées séparément. Valeur par défaut : True |
La définition de ce paramètre sur False peut affecter les performances. Ne faites cette modification que si le Support vous le conseille. |
Filtre d'extensions de fichier proxy |
Expression régulière définissant les extensions de fichier qui seront supprimées de la liste des URL sauvegardées lorsque vous enregistrez une connexion, une exploration manuelle ou une opération en plusieurs étapes. Si vous supprimez une extension de l'expression régulière, les adresses URL se terminant par cette extension ne sont pas filtrées dans les enregistrements. Valeur par défaut : "\.(zip|Z|tar|t?gz|sit|cab|pdf| ps|doc|ppt|xls|rtf|dot|mp(p|t|d|e|a|3| 4|ga)|m4p|mdb|csv|pp(s|a)|xl(w|a)| dbf|slk|prn|dif|avi|mpe?g|mov(ie)?| qt|moov|rmi?|as(f|x)|m1v|wm(v|f| a)|wav|ra|au|aiff|midi?|m3u|gif| jpe?g|bmp|png|tif?f|ico|pcx|css| xml)$" |
Parfois, lorsqu'un type de fichier particulier est nécessaire, par exemple un fichier image CAPTCHA inclus dans votre enregistrement de connexion pour référence, vous pouvez supprimer son extension de fichier (en l'occurrence |
Nettoyer les journaux |
Supprime les informations sensibles des journaux. Valeur par défaut : True |
Si vous devez supprimer des informations sensibles des journaux, activez cette option et définissez le schéma à supprimer dans l'option "Schéma d'information sensible". Notez que la modification de ce paramètre est sans effet sur les journaux déjà générés. |
Nettoyer les rapports |
Supprime les informations sensibles des rapports. Valeur par défaut : True |
Si vous devez supprimer des informations sensibles des rapports, activez cette option et définissez le schéma à supprimer dans l'option "Schéma d'information sensible". Le mot de passe défini dans Configuration des examens > Remplissage automatique de formulaires est exclu de tous les rapports, même si aucun modèle n'est défini. Notez que la modification de ce paramètre est sans effet sur les rapports déjà générés. |
Schéma d'information sensible |
Expression régulière qui définit un ou plusieurs groupes à exclure des journaux et des rapports si l'option Nettoyer les journaux ou Nettoyer les rapports est activée. Valeur par défaut : vide |
Si vous devez supprimer des informations sensibles des rapports ou des journaux, activez l'option appropriée ("Nettoyer les journaux " ou "Nettoyer les rapports") et définissez ici un ou plusieurs groupes dans une expression régulière. Le texte sensible est remplacé par : **CONFIDENTIAL 1**, **CONFIDENTIAL 2**, etc. Le mot de passe défini dans Configuration des examens > Remplissage automatique de formulaires est exclu de tous les rapports, même si aucun modèle n'est défini. |
JavaScript | ||
Schéma de lien JavaScript |
AppScan utilise divers modèles pour identifier les liens présents dans le code JavaScript™. Si votre site utilise des schémas inhabituels, vous devez les définir dans cette expression régulière. Valeur par défaut : vide |
Si AppScan semble ignorer des liens de votre code JavaScript et que votre site utilise des schémas de lien JavaScript inhabituels, définissez ici un ou plusieurs schémas pour indiquer à AppScan ce qu'il doit rechercher. S'applique uniquement à l'exploration basée sur les requêtes. |
Localisation : |
||
Codage HTML |
Remplace le codage défini dans les réponses HTML de votre site. Valeur par défaut : vide |
Si le contenu des réponses dans les résultats d'examen présente une déformation, cela peut être dû au fait que : 1) La méthode de codage n'a pas été correctement identifiée par AppScan®, ou 2) La méthode de codage n'est pas correctement définie dans le code HTML de votre site. Pour résoudre le problème 1 : sélectionnez la méthode correcte dans la liste déroulante Options d'exploration. Pour résoudre le problème 2 : entrez la méthode de codage correcte ici. |
Paramètres et cookies : |
||
Exclure des tests les paramètres JSON redondants |
Le corps de type de contenu JSON peut contenir plusieurs valeurs d'un paramètre unique qui doivent être testées individuellement. Si vous définissez cette option à la valeur True, AppScan tente d'identifier les valeurs redondantes et de limiter les tests à un sous-ensemble de paramètres, ce qui réduit la durée de l'examen. Valeur par défaut : True |
Si vous constatez qu'un paramètre important n'a pas été testé, définissez cette option à la valeur False. |
Exclure des tests les paramètres XML redondants |
Le corps de type de contenu XML peut contenir plusieurs valeurs d'un paramètre unique qui doivent être testées individuellement. Si vous définissez cette option à la valeur True, AppScan tente d'identifier les valeurs redondantes et de limiter les tests à un sous-ensemble de paramètres, ce qui réduit la durée de l'examen. Valeur par défaut : True |
Si vous constatez qu'un paramètre important n'a pas été testé, définissez cette option à la valeur False. |
Suivre les paramètres personnalisés dans les en-têtes |
Ce paramètre s'applique uniquement aux examens sauvegardés à l'aide d'AppScan version 8.7.0.1 ou antérieure. Dans les versions ultérieures, le comportement par défaut est devenu True et il est possible de contrôler les valeurs de chaque paramètre et cookie dans : Configuration des examens > Paramètres et cookies > Définition de paramètre > Options de suivi > Correspondance En-tête et corps (par défaut) ou Corps uniquement (voir Définition de paramètre). Par défaut, AppScan versions 8.7.0.1 et antérieures recherche des paramètres personnalisés uniquement dans le corps des réponses, et non dans leurs en-têtes. Si vous attribuez la valeur True à ce paramètre, AppScan effectue alors également une recherche dans les en-têtes. Valeur par défaut : False |
Si AppScan ferme la session suite à des modifications d'un paramètre dans un en-tête de réponse, la modification de ce paramètre peut résoudre le problème. Ceci peut augmenter la durée de l'examen. |
Suivre les paramètres dynamiques à l'étape de test uniquement s'il existe du contenu en ligne |
Le suivi des paramètres dynamiques au cours de l'étape de test peut entraîner des problèmes de performance. Par conséquent, par défaut, le suivi des paramètres dynamiques n'est effectué au cours de l'étape de test que dans les réponses comportant du contenu en ligne. Valeur par défaut : True |
N'associez la valeur False à ce paramètre que si ce type de suivi est essentiel. |
Postman : |
||
Taille de l'échantillon d'analyse de connexion |
Lorsqu'une collection Postman est chargée, AppScan l'analyse pour tenter d'identifier un schéma en session. AppScan utilise ce modèle pour détecter quand il est déconnecté lors de l'examen. Ce paramètre définit le nombre de demandes de la collection analysées pour tenter d'identifier un modèle valide. Valeur par défaut : 7 |
Si AppScan ne parvient pas à identifier automatiquement un schéma en session valide, essayez d'augmenter cette valeur. |
Détection de serveur arrêté : |
||
Rechercher "serveur arrêté" dans Exploration |
Permet d'envoyer des demandes de signal de présence pour vérifier la condition "Serveur arrêté" pendant l'étape d'exploration. Valeur par défaut : True |
Si AppScan® reçoit des erreurs de type serveur arrêté pendant l'étape d'exploration bien que le serveur soit en opération, ceci peut être dû au fait que le serveur bloque les demandes de signal de présence fréquentes. Si AppScan® connaît des arrêts de session fréquents pendant l'examen, ceci peut être dû au fait que l'adresse URL de départ est envoyée au serveur comme signal de présence, sans cookies. La désactivation de ce paramètre peut résoudre le problème mais AppScan ne sera alors pas en mesure de vérifier l'état du serveur. |
Rechercher "serveur arrêté" dans Test |
Permet d'envoyer des demandes de signal de présence pour vérifier la condition "Serveur arrêté" pendant l'étape de test. Valeur par défaut : True |
Si AppScan reçoit des erreurs de type serveur arrêté pendant l'étape de test bien que le serveur soit en opération, ceci peut être dû au fait que le serveur bloque les demandes de signal de présence fréquentes. Si AppScan® connaît des arrêts de session fréquents pendant l'examen, ceci peut être dû au fait que l'adresse URL de départ est envoyée au serveur comme signal de présence, sans cookies. La désactivation de ce paramètre peut résoudre le problème mais AppScan ne sera alors pas en mesure de vérifier l'état du serveur. |
Etape d'exploration - tentatives de reconnexion |
Lorsqu'AppScan est sur le point de terminer l'étape d'exploration mais que plusieurs tests ont échoué pour cause de "serveur arrêté", et que le serveur est toujours arrêté, AppScan effectuera plusieurs tentatives de connexion au serveur. Valeur par défaut : 5 |
Si vous savez que votre serveur est sensible ou constatez que l'examen s'est arrêté en raison d'une erreur de communication et qu'une série de tests a échoué pour les mêmes raisons, vous devez augmenter cette valeur. |
Intervalle entre deux tentatives de demande |
Intervalle en secondes avant un nouvel envoi des demandes ayant échoué (y compris des demandes de signal de présence). Valeur par défaut : 1 |
Si vous êtes conscient que votre connexion est médiocre ou votre serveur instable (ce qui peut conduire à des résultats "faux négatifs" ou réduire la couverture de l'application), vous pouvez augmenter cet intervalle pour réduire l'impact. |
Nombre limite de tentatives de demande |
Nombre de nouvelles tentatives de relance des demandes ayant échoué. Valeur par défaut : 2 |
L'augmentation de la valeur de ce paramètre peut augmenter l'efficacité de l'examen si votre serveur est instable ou que la communication est médiocre. |
Délai d'attente d'arrêt du serveur |
Lorsqu'AppScan ne parvient pas à se connecter au serveur ou que la session se ferme, ce paramètre définit la durée (en secondes) pendant laquelle AppScan tentera de se reconnecter ou de rouvrir la session avant d'arrêter l'examen. Valeur par défaut : 185 |
Si votre connexion est lente, ou si votre serveur met du temps à se recharger après un arrêt, vous pouvez choisir d'augmenter ce paramètre. |
intervalle des pulsations serveur arrêté |
Intervalle en secondes entre signaux de présence de "serveur arrêté". Valeur par défaut : 3 s Max : 60 s |
Si AppScan reçoit des erreurs de type serveur arrêté pendant l'examen, ceci peut être dû à une connexion médiocre ou à un serveur instable. L'augmentation de cet intervalle peut permettre de résoudre le problème. |
Etape de test - tentatives de reconnexion |
Lorsqu'AppScan est sur le point de terminer l'étape de test mais que plusieurs tests ont échoué pour cause de "serveur arrêté", et que le serveur est toujours arrêté, AppScan® effectuera plusieurs tentatives de connexion au serveur. Valeur par défaut : 5 |
Si vous savez que votre serveur est sensible ou constatez que l'examen s'est arrêté en raison d'une erreur de communication et qu'une série de tests a échoué pour les mêmes raisons, vous devez augmenter cette valeur. |
Gestion des sessions : |
||
Domaines des publicités |
Expression régulière décrivant les domaines courants des publicités sur le Web. Les demandes envoyées à ces domaines lors de l'enregistrement de la séquence de connexion seront ignorées. Valeur par défaut : Valeur par défaut : ad\d.googlesyndication| doubleclick\.net|coremetrics\.|webtrends\ .|112\.2o7\.net|view.atdmt.com| ad.yieldmanager.com|ads.adbrite.com| oasn04.247realmedia.com| segment-pixel.invitemedia.com" |
La séquence de connexion étant réexécutée continuellement au cours de l'examen, vous pouvez améliorer l'efficacité de l'examen en éliminant par filtrage les demandes non nécessaires. Si vous supprimez toute l'expression régulière, aucun domaine ne sera éliminé. |
Analyser l'enregistrement de connexion |
Lorsque vous enregistrez une séquence de connexion, (Configuration des examens > Gestion de connexion), AppScan l'analyse et met à jour les paramètres de la détection En session (schéma En session, demande En session et ID session reçus lors de la connexion). Valeur par défaut : True |
Si l'analyse prend trop de temps, vous pouvez remplacer ce paramètre par False. Cependant, si vous le faites, vous devez configurer la détection En session manuellement. |
Effacer les cookies avant de lire la connexion |
Détermine si les cookies sont supprimés avant la relecture de la séquence de connexion. Valeur par défaut : True |
|
Valeurs de paramètre statique commun |
Valeurs de paramètres statiques courantes. Utilisées pour la détection de valeurs de paramètres non aléatoires qui ne doivent pas faire l'objet d'un suivi lors de la connexion. Valeur par défaut : |true|false|\bon\b|\boff\b|\bout\b|checked|enabled|log\s?in|log\ s?out|exit|submit|sign|ever|disabled|agree |
|
Désactiver la mise en mémoire tampon en session pendant l'étape d'exploration |
Pendant l'étape d'exploration : Si la réponse à une demande indique que l'utilisateur était hors session lors de son envoi, AppScan met en file d'attente la demande afin de la renvoyer. Cela garantit l'examen d'une partie aussi grande que possible du site. Valeur par défaut : False |
Si votre site met souvent l'utilisateur hors session, la mise en mémoire tampon en session risque de provoquer une exécution indéfinie de l'étape d'exploration. Si vous affectez la valeur True à cette option, l'étape d'exploration est plus rapide, mais la couverture d'examen du site risque d'être réduite. |
En session avant opérations en plusieurs étapes |
Par défaut, AppScan vérifie le statut en session avant de réexécuter les opérations en plusieurs étapes. Valeur par défaut : True |
Si vous voulez tester des opérations en plusieurs étapes avec un utilisateur non authentifié, ou si vos séquences en plusieurs étapes incluent des étapes de connexion, affectez à ce paramètre la valeur False. Important : Si l'option Configuration des examens > Gestion de connexion > Détails > Activer la détection en session est désélectionnée et que ce paramètre avancé a la valeur True (par défaut), toute la séquence de connexion sera réexécutée avant chaque opération en plusieurs étapes. |
Intervalle des pulsations En session |
Intervalle en secondes entre les signaux de présence En session. Valeur par défaut : 5 |
Si une fin de session intervient sur AppScan® durant l'examen, ceci peut être dû à une connexion médiocre ou à un serveur instable. L'augmentation de cet intervalle peut permettre de résoudre le problème. |
Filtre du type de contenu de connexion |
Expression régulière qui définit des types de contenu qui doivent être exclus des séquences de connexion et d'opération en plusieurs étapes. Lorsqu'une séquence de connexion ou d'opération en plusieurs étapes est enregistrée, les demandes dont les réponses comprennent des en-têtes avec ces types de contenu seront supprimées de la séquence. Ainsi, lorsqu'AppScan réexécute la séquence pendant l'examen, les demandes dont les réponses comprennent des en-têtes avec ces types de contenu ne seront pas envoyées dans la séquence. Valeur par défaut : Par défaut : text/javascript|application/javascript| application/x-javascript|image|text/css |
Si la procédure de connexion de votre site, ou l'une des opérations en plusieurs étapes que vous avez enregistrées, nécessite de cliquer sur un lien contenant un en-tête dont le contenu figure dans cette liste, vous devez le supprimer de l'expression régulière. |
Intervalle entre les nouvelles tentatives de connexion |
Intervalle en secondes avant un nouvel envoi des demandes de connexion ayant échoué. Valeur par défaut : 3 |
Si une fin de session intervient dans AppScan® et que les tentatives de relance de la connexion échouent, ceci peut être dû au fait que le serveur est sensible aux tentatives de connexion répétées. L'augmentation de cet intervalle peut permettre de résoudre le problème. |
Filtre de type de contenu à plusieurs parties |
Pour réduire la consommation de mémoire superflue, certains types de contenu sont automatiquement exclus par filtrage des demandes à plusieurs parties (demandes contenant plusieurs types de contenu). Seuls les types de contenu définis dans cette expression régulière sont inclus dans les demandes à plusieurs parties. Les autres types de contenu sont filtrés et exclus. Le contenu qui ne possède pas d'en-tête de type de contenu est inclus par défaut et défini par la valeur suivante :
Valeur par défaut : text/|text/plain|application/javascript| application/json|application/rtf|application/xml| text/xml|content_without_content_type_header |
Si un type de contenu important est exclu des demandes, ajoutez-le à cette expression régulière. Il est également possible de réduire la consommation de mémoire en supprimant les types de contenu inutiles afin qu'ils ne soient pas envoyés. |
Hôtes de paramètres de navigation |
Expression régulière décrivant les hôtes. Utilisée pour la détection des paramètres de navigation (par valeur) ne devant pas faire l'objet d'un suivi pendant la séquence de connexion. Valeur par défaut : https?:// |
Si votre site utilise des hôtes inhabituels dans les paramètres de navigation, qui ne sont pas exclus par l'expression régulière par défaut, ajoutez-les pour améliorer l'efficacité de l'examen. Si vous supprimez cet élément, les paramètres de navigation peuvent ne pas être identifiés correctement. |
Scripts de paramètres de navigation |
Expression régulière décrivant des scripts côté serveur utilisés lors de la détection des paramètres de navigation (par valeur de paramètre) qui ne doivent pas faire l'objet d'un suivi pendant la séquence de connexion. Valeur par défaut : /[^/\.]+\.(htm|jsp|jsf|ws|dll|asp|php|do) |
Si votre site utilise des scripts côté serveur inhabituels dans les paramètres de navigation, qui ne sont pas exclus par l'expression régulière par défaut, ajoutez-les pour améliorer l'efficacité de l'examen. Si vous supprimez cet élément, les paramètres de navigation peuvent ne pas être identifiés correctement. |
Paramètres de navigation |
Expression régulière décrivant des paramètres de navigation qui ne doivent pas faire l'objet d'un suivi lors de la séquence de connexion. Valeur par défaut : \bnav|url|page|step|redirect|request| location|target|argument|item|article| goto|node|action|ctrl|control|source| menu|frame|command |
Si votre site utilise des paramètres de navigation inhabituels qui ne sont pas exclus par l'expression régulière par défaut, ajoutez-les pour améliorer l'efficacité de l'examen. La modification de l'expression régulière peut générer une couverture insuffisante de l'examen ou un suivi de session inadéquat. |
Analyser la page En session |
S'il est défini sur False, AppScan n'analysera pas la page en session et ne mettra pas à jour les paramètres ou les cookies suivis dont les valeurs ont été modifiées dans la page en session. Valeur par défaut : True |
Si votre page En session ne contient pas de cookies ou de paramètres suivis, vous pouvez améliorer les performances en modifiant la valeur de ce paramètre sur False. S'il est défini sur False, AppScan ne mettra pas à jour les valeurs des paramètres ou des cookies suivis sur la page en session, ce qui peut entraîner un passage hors session. |
Nom de paramètre des mots de passe |
Utilisé par Recorded Login Analysis pour identifier le paramètre des mots de passe. Le nom complet est requis. Valeur par défaut : |
Parfois, lorsque vous importez une connexion (plutôt que de l'enregistrer à l'aide de la connexion basée sur les actions), AppScan peut ne pas parvenir à identifier le nom de paramètre des mots de passe. Si cela se produit, le champ Mot de passe dans Configuration des examens > Remplissage automatique de formulaires sera vide. Si cela se produit, ajoutez le nom de paramètre des mots de passe complet. |
Demandes entre pulsations |
A la suite d'une demande de détection de session, AppScan enverra au moins le nombre de demandes définies ici avant d'envoyer une autre demande de détection de session. Valeur par défaut : 1 |
Si en raison de la lenteur de la réponse du serveur l'examen est constitué principalement de demandes de détection en session (voir le journal du trafic), l'augmentation de cette valeur peut réduire la durée de l'examen. |
Délai d'attente pour la tentative de connexion basée sur les actions |
Durée en secondes pendant laquelle AppScan attend que le navigateur tente à nouveau d'effectuer une connexion basée sur les actions, avant de provoquer la fermeture du navigateur. Valeur par défaut : 120 secondes |
|
Schémas spéciaux : |
||
Exclure du remplissage automatique de formulaires |
Les noms de paramètres répertoriés ici sont exclus du remplissage automatique de formulaires. Valeur par défaut : ^CFID __EVENTVALIDATION __VIEWSTATE ^CFTOKEN __EVENTARGUMENT __EVENTTARGET ^BV_ |
Les paramètres dont la valeur est très longue peuvent ralentir l'examen et accroître la taille des fichiers. Si votre application utilise des paramètres dont les valeurs sont longues et qui ne sont pas requis pour remplir les formulaires, ajoutez-les à cette liste. |
Tests : |
||
Limite de lien automatique |
Valeur par défaut : 100 000 |
|
Liens automatiques à ignorer |
||
CSRF : Schéma de demande significative |
Par défaut, AppScan teste les requêtes POST et celles avec réponse "Transaction Successful" pour identifier des attaques CSRF (Cross-Site Request Forgery). Ce paramètre vous permet de définir des demandes supplémentaires comme étant "significatives" d'une vulnérabilité à une attaque CSRF, outre les requêtes POST. Cette définition est utilisée en conjonction avec "CSRF : Schéma de réponse significative. Valeur par défaut : ^POST |
Si vous désirez tester également la vulnérabilité à des attaques CSRF de requêtes GET, modifiez cette expression régulière. |
CSRF : Schéma de réponse significative |
Par défaut, AppScan® teste les requêtes POST et celles avec réponse "Transaction Successful" pour identifier des attaques CSRF (Cross-Site Request Forgery). Ce paramètre vous permet de définir des réponses supplémentaires comme étant "significatives" d'une vulnérabilité à une attaque CSRF, outre les réponses "Transaction Successful". Cette définition est utilisée en conjonction avec "CSRF : Schéma de demande significative. Valeur par défaut : Transaction Successful |
Si vous désirez tester la vulnérabilité à des attaques CSRF de demandes recevant d'autres types de réponse, définissez-les dans cette expression régulière. |
Omettre le corps de la réponse s'il n'est pas nécessaire |
Pour certains types de test, ce n'est pas le corps de la réponse qui confirme la vulnérabilité. L'enregistrement de ce contenu dans le cadre des données d'examen augmente la taille de l'examen sans aucun avantage. Par conséquent, dans ces cas, AppScan ne l'enregistre pas. Notez que la définition de cette valeur sur False peut augmenter considérablement la taille de l'examen. Valeur par défaut : True |
n/a |
Seuil de différence |
AppScan doit souvent comparer deux réponses et déterminer si elles sont "similaires" ou "différentes", afin de définir si un test a abouti ou non. AppScanutilise alors des algorithmes pour attribuer un pourcentage de similarité (où 100 % indique que les deux réponses sont identiques). Dans certains cas, il détermine les résultats du test en fonction du "Seuil de similarité" et dans d'autres, en fonction du "Seuil de différence". Il est possible de configurer ces deux seuils. Pour la plupart des tests, le seuil de similarité par défaut est de 95 % et le seuil de différence par défaut est de 75 %. Cela implique les points suivants :
Toute valeur saisie pour ce paramètre située entre 1 et 100 (pourcentage) se substitue au seuil de différence par défaut pour tous les tests. Vous pouvez également, si vous le souhaitez, régler le seuil de similarité. Valeur par défaut : 0 (Utiliser les seuils AppScan) |
Si votre site ne contient pas de texte "dynamique" pouvant générer de petites différences dans des réponses similaires, le fait d'indiquer une valeur inférieure à 75 risque de réduire les résultats faussement positifs. Conseil : Vous pouvez également, si vous le souhaitez, régler le seuil de similarité (voir ci-dessous).
|
Désactiver le test des cookies |
Ce paramètre permet de désactiver le test des cookies. Valeur par défaut : False |
Si le test des cookies pour votre application allonge considérablement la durée de l'examen, vous pouvez le désactiver. Cependant, ceci peut entraîner l'omission de problèmes de sécurité ("faux négatifs"). |
Désactiver le test des cookies pour le contenu statique |
Désactive le test des cookies dans les demandes pour des pages portant cette extension. Valeur par défaut : ;htm;html;ahtm;ahtml; chtm;chtml;fhtm;fhtml;mht; mhtm;mhtml;css;css1;js; |
Afin de réduire la durée de l'examen et la consommation de la mémoire, vous pouvez envisager d'exclure des types supplémentaires d'extensions de page. Dans ce cas, ajoutez-les à la liste des extensions à exclure, en les séparant par un point-virgule. |
Ne pas tester le répertoire ou la page |
Cette option permet de définir une expression régulière afin de protéger des répertoires ou des pages spécifiques des attaques pendant l'étape de test. Seuls seront exclus les répertoires ou pages définis et non les sous-répertoires ou fichiers. Valeur par défaut : /wps/[^/]*/!ut/ |
Si vous savez que certains répertoires ou pages ne sont pas vulnérables ou craignez que leur test ne nuise à la stabilité du site, vous pouvez les exclure de l'examen en les définissant dans cette expression régulière. Pour exclure un dossier et tous ses sous-dossiers, reportez-vous à la rubrique Exclusion de chemins et de fichiers |
Extraire les liens de toutes les réponses |
Par défaut, lors de la phase de test, AppScan ne recherche de nouveaux liens que dans les réponses vulnérables. Valeur par défaut : False |
Si vous pensez qu'AppScan® risque d'ignorer des liens ou que sa couverture est insuffisante, vous pouvez activer ce paramètre, bien que ceci augmente la durée de l'examen et la taille de fichier. |
Suivre tous les liens automatiques |
Par défaut, AppScan ne suit que des liens* automatiques susceptibles de comporter des vulnérabilités. Ces éléments sont : iFrame, Frame et Redirect. Vous pouvez le configurer afin de suivre tous les types de lien automatique. Notez que les requêtes correspondant à l'expression régulière définies dans "Liens automatiques à ignorer" ne seront jamais envoyées, quelle que soit la valeur de ce paramètre. Valeur par défaut : False * Connexion automatique : lien sur la page Web que le navigateur envoie automatiquement, sans aucune interaction de l'utilisateur. |
Si vous pensez que votre site peut comporter une vulnérabilité dans d'autres types de lien automatique, comme des scripts, activez ce paramètre. Ceci augmentera la durée d'examen et la taille de fichier. |
Liste des entités à tester |
Liste des entités, séparées par une barre verticale. Par défaut, toutes les entités valides sont incluses : HttpServer | Directory | Path | Parameter | Cookie Name | Html Comment | Request | ClientScript | Response Cookie | Link | Page | Privilege Escalation Request | Header |
|
Connexion après test |
Envoyer les tests dans une même unité d'exécution et vérifier en session, ou envoyer la séquence de connexion après chaque test. 0 = False 1 = Envoyer les tests dans une même unité d'exécution et vérifier en session après chaque test. Si une fin de session est détectée, envoie la séquence de connexion. 2 = Envoyer les tests dans une même unité d'exécution et envoyer la séquence de connexion après chaque test. Valeur par défaut : 0 |
Les paramètres 1 et 2 peuvent s'avérer nécessaires pour les applications comportant une session sensible ou nécessitant des déconnexions fréquentes pour éviter les problèmes de session ou de mémoire. La sélection de ces paramètres peut augmenter la durée d'examen de façon significative. |
Opération en plusieurs étapes : limite de validation |
Le nombre maximal de requêtes ultérieures d'une séquence d'opérations en plusieurs étapes qui seront validées, après l'étape en cours de test. Valeur par défaut : 0 |
Pour plus de détails, voir Validation de la séquence |
Schéma à ignorer dans la réponse |
Cette expression régulière définit les sections de la réponse à ignorer par AppScan® lors de l'analyse des réponses du test. Lors de la comparaison des réponses en vue de décider si un test a réussi, AppScan calcule le pourcentage de modification dans la réponse complète. Si la réponse est très longue et la modification minime, AppScan® peut ignorer cette différence et ne pas identifier la vulnérabilité. Valeur par défaut : <input[^>]+(__VIEWSTATE|__ EVENTTARGET| __EVENTARGUMENT| __EVENTVALIDATION) [^>]+> |
Si votre site envoie des réponses incluant des sections longues qui ne sont pas importantes, la définition des sections ici peut améliorer la précision et les performances de l'examen. |
Régénérer l'intervalle de réponse d'origine |
Intervalle, en secondes, de régénération de la réponse d'origine (en renvoyant la demande) au cours de la phase de test. L'une des méthodes utilisées par AppScan pour décider si une réponse de test révèle une vulnérabilité consiste à la comparer avec la réponse d'exploration. Lorsqu'une réponse d'exploration est antérieure à la valeur définie ici, la demande d'exploration est envoyée de nouveau, avant d'envoyer les tests, de sorte qu'une réponse d'exploration mise à jour puisse être utilisée pour la comparaison. Cette règle est essentielle lorsque la réponse d'exploration est susceptible de varier dans le temps et que la comparaison de la réponse de test avec la réponse d'exploration obsolète risque de produire un résultat faussement positif. Valeur par défaut : 30 (secondes) |
Si vous êtes certain que les réponses de l'application ne deviendront jamais obsolètes, vous pouvez remplacer la valeur de ce paramètre par zéro afin de réduire la durée d'examen. Les demandes de l'étape d'exploration ne seront jamais envoyées une nouvelle fois. |
Envoyer des tests de programme d'écoute des ports |
Par défaut, AppScan n'envoie pas de tests d'écoute des ports en raison des risques d'échec et du temps de validation. Valeur par défaut : False |
Si le site externe fait partie de votre réseau et connaît par conséquent les adresses IP locales, vous pouvez souhaiter activer ce type de test d'injection SQL en aveugle. |
Seuil de similarité |
AppScan doit souvent comparer deux réponses et déterminer si elles sont "similaires" ou "différentes", afin de définir si un test a abouti ou non. AppScanutilise alors des algorithmes pour attribuer un pourcentage de similarité (où 100 % indique que les deux réponses sont identiques). Dans certains cas, il détermine les résultats du test en fonction du "Seuil de similarité" et dans d'autres, en fonction du "Seuil de différence". Il est possible de configurer ces deux seuils. Pour la plupart des tests, le seuil de similarité par défaut est de 95 % et le seuil de différence par défaut est de 75 %. Cela implique les points suivants :
Toute valeur saisie pour ce paramètre située entre 1 et 100 (pourcentage) se substitue au seuil de similarité pour tous les tests. Valeur par défaut : 0 (Utiliser les seuils AppScan) |
Si votre site ne contient pas de texte "dynamique" pouvant générer de petites différences dans des réponses similaires, vous pouvez augmenter ce pourcentage pour réduire le nombre de messages faussement positifs. Conseil : Vous pouvez également, si vous le souhaitez, régler le seuil de différence (voir ci-dessus). |
XSS : Nouvelle validation à l'aide du navigateur |
Pour certaines attaques par script intersite, la vérification de la réponse du site à l'aide d'un navigateur réel peut mieux identifier les fenêtres d'alerte et réduire le nombre de faux positifs. Valeur par défaut : True |
|
XSS : Tester toutes les sondes reflétées |
Généralement, plusieurs occurrences du texte de charge trouvées dans une réponse du site ont le même niveau de vulnérabilité. Par conséquent, AppScan n'en teste qu'une seule. Valeur par défaut : False |
Paramétrez cette valeur sur True si vous voulez tester toutes les occurrences du texte de charge dans une même réponse. |